Ekoparty es el evento anual de seguridad informática que, por sus características únicas y su particular estilo, se ha convertido en un referente para toda Latinoamérica.

Permite a consultores, oficiales de seguridad, investigadores, programadores, técnicos, administradores de sistemas, nerds, curiosos y entusiastas de la tecnología, reunirse y disfrutar de los descubrimientos más importantes en el ámbito de la seguridad informática.

27, 28 y 29 de septiembre, Centro Cultural Konex, Buenos Aires, Argentina.

26 jun. 2017

Backdoor en imágenes BMP

Muchos nos hemos dedicado a darle cientos de vueltas a la cabeza para conseguir ejecutar malware sin ser frenados por la multitud de antivirus que hay en el mercado, para ello hay algunas herramientas como AVET, comentada anteriormente por estos lares, que nos facilitan cantidad el proceso de evasión de AVs, pero debemos saber que estas herramientas no son infalibles.
Seguramente casi nadie (por no decir nadie) os habréis fijado bien si hay algo raro en la imagen de cabecera del post, ¿no veis nada raro?, ampliarla un poquito más, ¿seguís sin verlo?, os daré un pista, haced zoom a la parte inferior izquierda de la imagen...

Bueno, como podéis observar, aparece una tira de pixels de diferentes colores, los cuales no concuerdan con la imagen original, pues en esa tira de pixels se encuentra nuestra futura sesión de meterpreter, o mejor dicho, nuestro querido backdoor.
Como muchos habréis podido observar, es una imagen en formato bitmap (.BMP), esto quiere decir que estamos ante un mapa de bits que es una estructura o fichero de datos que representa una rejilla rectangular de pixels o puntos de color, denominada matriz, que se puede visualizar en un monitor, papel u otro dispositivo de representación. Aprovechando esta característica, hemos insertado un backdoor dentro de dicha matriz en 54 pixeles de la parte inferior izquierda de la imagen.

Si observamos de una imagen original y de otra backdorizada con un visor hexadecimal veremos los siguiente:
Si os fijáis, en comparación a la imagen original (izquierda), la imagen backdorizada (derecha) tiene añadidos unos valores seleccionados, ese es el backdoor en cuestión que se representa en la imagen original  con esos pixels coloreados mencionados anteriormente.

Para crear esta imagen tenemos la herramienta NativePayload_Image, una herramienta creada en C# por Damon Mohammadbagher que va a servir de interprete de nuestra puerta trasera, en este caso, una sesión de de meterpreter. Su uso es muy sencillo, nada más descargar el repositorio, compilaremos la solución con .Net Framework 2.0 , 3.5 o 4.0, y lo ejecutaremos desde la terminal de Windows.

Contenido completo en fuente original HackPlayers

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!