Syringe Antivirus Bypass usando Meterpreter como Payload

mayo 26, 2013 § Deja un comentario

Hace un tiempo publique una serie de tres artículos sobre las diferentes forma de crear un fichero ejecutable (exe) con capacidad de evasión del sistema Antivirus utilizando el framework de seguridad #Metasploit.

En su momento estuve tentado de crear un script que generase un ejecutable con un PAYLOAD según unas especificaciones previas, y que automáticamente comprobase en Virustotal su eficacia. Ahora, buceando en Internet he ido a parar a http://www.commonexploits.com quién ha creado precisamente un script que realiza exactamente eso, es decir, generar un payload con metasploit con técnicas de evasión de antivirus.

Sin embargo, aunque el script (AV0id) es muy interesante, ese mismo artículo me ha puesto sobre la pista de una herramienta de gran utilidad, cuyo objetivo es evadir (bypass) los sistema antivirus. Es precisamente sobre esto ultimo de lo que voy a hablar a continuación: Syringe

Durante un test de penetración puede resultar muy útil disponer algún ejecutable con capacidad de “puerta trasera” (backdoor) con el que demostrar la debilidad encontrada tomando el control del equipo objeto del análisis. Es en este punto donde entra en juego el Syringe creado por un investigador de Seguridad independiente llamado Hasan (aka inf0g33k). Hasan publica un documento técnico (PDF) donde explica la técnica que utiliza para cargar la shell, generada con Metasploit, en memoria y demuestra con un ejemplo su funcionamiento.

La herramienta, básicamente carga en memoria un PAYLOAD de tipo meterpreter generado por Metasploit, utilizando técnicas de ENCODING de forma que pueda evadir el sistema Antivirus del sistema.

Contenido completo en fuente original Seguridad para todos

Anuncios

Responder

Por favor, inicia sesión con uno de estos métodos para publicar tu comentario:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

¿Qué es esto?

Actualmente estás leyendo Syringe Antivirus Bypass usando Meterpreter como Payload en Seguridad Informática.

Meta

A %d blogueros les gusta esto: