Syringe Antivirus Bypass usando Meterpreter como Payload
Hace un tiempo publique una serie de tres artículos sobre las diferentes forma de crear un fichero ejecutable (exe) con capacidad de evasión del sistema Antivirus utilizando el framework de seguridad #Metasploit.
En su momento estuve tentado de crear un script que generase un ejecutable con un PAYLOAD según unas especificaciones previas, y que automáticamente comprobase en Virustotal su eficacia. Ahora, buceando en Internet he ido a parar a http://www.commonexploits.com quién ha creado precisamente un script que realiza exactamente eso, es decir, generar un payload con metasploit con técnicas de evasión de antivirus.
Sin embargo, aunque el script (AV0id) es muy interesante, ese mismo artículo me ha puesto sobre la pista de una herramienta de gran utilidad, cuyo objetivo es evadir (bypass) los sistema antivirus. Es precisamente sobre esto ultimo de lo que voy a hablar a continuación: Syringe
Durante un test de penetración puede resultar muy útil disponer algún ejecutable con capacidad de "puerta trasera" (backdoor) con el que demostrar la debilidad encontrada tomando el control del equipo objeto del análisis. Es en este punto donde entra en juego el Syringe creado por un investigador de Seguridad independiente llamado Hasan (aka inf0g33k). Hasan publica un documento técnico (PDF) donde explica la técnica que utiliza para cargar la shell, generada con Metasploit, en memoria y demuestra con un ejemplo su funcionamiento.
La herramienta, básicamente carga en memoria un PAYLOAD de tipo meterpreter generado por Metasploit, utilizando técnicas de ENCODING de forma que pueda evadir el sistema Antivirus del sistema.
Contenido completo en fuente original Seguridad para todos
En su momento estuve tentado de crear un script que generase un ejecutable con un PAYLOAD según unas especificaciones previas, y que automáticamente comprobase en Virustotal su eficacia. Ahora, buceando en Internet he ido a parar a http://www.commonexploits.com quién ha creado precisamente un script que realiza exactamente eso, es decir, generar un payload con metasploit con técnicas de evasión de antivirus.
Sin embargo, aunque el script (AV0id) es muy interesante, ese mismo artículo me ha puesto sobre la pista de una herramienta de gran utilidad, cuyo objetivo es evadir (bypass) los sistema antivirus. Es precisamente sobre esto ultimo de lo que voy a hablar a continuación: Syringe
Durante un test de penetración puede resultar muy útil disponer algún ejecutable con capacidad de "puerta trasera" (backdoor) con el que demostrar la debilidad encontrada tomando el control del equipo objeto del análisis. Es en este punto donde entra en juego el Syringe creado por un investigador de Seguridad independiente llamado Hasan (aka inf0g33k). Hasan publica un documento técnico (PDF) donde explica la técnica que utiliza para cargar la shell, generada con Metasploit, en memoria y demuestra con un ejemplo su funcionamiento.
La herramienta, básicamente carga en memoria un PAYLOAD de tipo meterpreter generado por Metasploit, utilizando técnicas de ENCODING de forma que pueda evadir el sistema Antivirus del sistema.
Contenido completo en fuente original Seguridad para todos
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!