"Infectando" maquinas con Morto a través de Metasploit
Me ha llamado la atención un post de HD Moore sobre cómo utilizar un módulo muy conocido de Metasploit como es smb_login para probar si de alguna manera se puede ser víctima del gusano Morto y de otros similares (como Conficker) que aprovechan las contraseñas débiles para propagarse a través de redes internas y externas.
Morto es un gusano reciente que abusa del servicio escritorio remoto y trata de acceder a los equipos con permisos administrativos, utilizando un pequeño número de contraseñas débiles (este archivo TXT con las contraseñas NO es dañino, pero puede ser detectado por algunos AV). Después de comprometer el servidor, el gusano continúa propagándose y proporciona acceso remoto al creador del gusano.
Todo esto en realidad es una excusa para decir que Metasploit proporciona una manera fácil de probar contraseñas poco seguras en cuentas de administrador local: con el módulo smb_login y la opción USERPASS_FILE se puede realizar una simple prueba en todos los equipos de la red.
De esta forma si Ud. es administrador de una red y aún no ha deshabilitado los administradores locales, aquí tiene un buen motivo para hacerlo o bien para exigir contraseñas robustas.
Cristian de la Redacción de Segu-Info
Morto es un gusano reciente que abusa del servicio escritorio remoto y trata de acceder a los equipos con permisos administrativos, utilizando un pequeño número de contraseñas débiles (este archivo TXT con las contraseñas NO es dañino, pero puede ser detectado por algunos AV). Después de comprometer el servidor, el gusano continúa propagándose y proporciona acceso remoto al creador del gusano.
Todo esto en realidad es una excusa para decir que Metasploit proporciona una manera fácil de probar contraseñas poco seguras en cuentas de administrador local: con el módulo smb_login y la opción USERPASS_FILE se puede realizar una simple prueba en todos los equipos de la red.
$ msfconsole msf > use auxiliary/scanner/smb/smb_login msf auxiliary(smb_login) > set USERPASS_FILE /tmp/morto.txt El archivo TXT puede ser reemplazado por otro diccionario de contraseñas msf auxiliary(smb_login) > set RHOSTS 192.168.0.0/24 msf auxiliary(smb_login) > set THREADS 128 msf auxiliary(smb_login) > set VERBOSE false msf auxiliary(smb_login) > run [*] Scanned 026 of 256 hosts (010% complete) [+] 192.168.0.141:445|WORKGROUP - SUCCESSFUL LOGIN (Windows 5.1) 'Administrator' : 'admin' [*] Scanned 125 of 256 hosts (048% complete) [*] Scanned 127 of 256 hosts (049% complete) [*] Scanned 142 of 256 hosts (055% complete) [*] Scanned 256 of 256 hosts (100% complete) [*] Auxiliary module execution completed
De esta forma si Ud. es administrador de una red y aún no ha deshabilitado los administradores locales, aquí tiene un buen motivo para hacerlo o bien para exigir contraseñas robustas.
Cristian de la Redacción de Segu-Info
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!