Evasion de defensas en un endpoint
Evasión de Defensas:
Para evadir estas defensas, es necesario mantenerse al corriente continuamente, ya que las soluciones se actualizan constantemente. Por ejemplo:
Quiero ejecutar un exploit de powerview.ps1 en la máquina víctima de la siguiente manera:
¿Qué ha pasado? Está parcheado. Pero hay una solución para esta versión del sistema. El antivirus ha bloqueado el exploit debido a un módulo llamado AMSI (analiza los scripts) que bloquea el contenido si coincide con alguna firma, como una protección en tiempo real.
Existen varias soluciones en internet, pero es importante mantenerse actualizado ya que también son parcheadas. Un ejemplo:
En este caso, si la variable «amsiinitfail» está en true, no se carga el analizador de firmas, permitiendo ejecutar cualquier script:
También ha sido parcheado. Por eso es crucial estar atento. Lo que ocurrió fue:
Estas cadenas de texto se codificaron en base64:
La firma ya no coincide y lo hemos logrado. En resumen, es importante estar al tanto de los últimos parches y las formas más recientes para evadir las defensas.
GreatSCT:
Es una herramienta que genera payloads compatibles con Metasploit para evadir defensas:
Todos estos payloads están relacionados con herramientas propias de Windows. Por ejemplo, «regasm» y «regsvccd» están relacionados con librerías .dll que normalmente no serán detectadas, mientras que «msbuild» podría ser detectado.
Elegimos el número 16, que representa una sesión TCP:
Configuramos la sesión con «lhost» y «lport», y luego generamos el payload:
El payload generado es una meterpreter, que debes mover a un archivo y luego ejecutarlo con el parámetro «execute»:
La configuración también se puede realizar automáticamente utilizando el código «execute»:
Al ejecutarlo en la máquina víctima, se genera una reverse shell TCP meterpreter de forma automática y sin ser detectada por las defensas.
TheFatRat:
Es una herramienta de post-explotación para evadir defensas basadas en antivirus:
Ofrece dos opciones:
La herramienta compila código en C con una sesión reverse TCP de meterpreter. Configuramos la sesión:
La herramienta nos proporciona el binario sin comprimir y comprimido para hacerlo menos detectable, siguiendo las direcciones que nos proporciona.
Otras Herramientas:
Existen varias otras herramientas para evadir defensas:
- Veil Framework: Crea payloads de Metasploit para evadir defensas.
- Shelter: Otra herramienta para evadir defensas.
- Msfmania: Una herramienta más para eludir defensas.
Recuerda que el uso de estas herramientas puede ser intrusivo y en muchos casos ilegal si no se utiliza con permiso. Utilízalas con responsabilidad y ética.
