metasploit

Generando script malicioso con
Metasploit Framework
Expositor: K43L

Metasploit
Es un proyecto OpenSource de seguridad informatica que
proporciona información acerca de vulnerabilidades y ayuda
en test de penetración y en el desarrollo de firmas para para
Sistemas de Detección de Intrusos.
Su subproyecto mas conocido es el famoso Metasploit
Framework, una herramienta para desarrollar yejecutar
exploits contra una maquina remota.

VbsMem Encoding
El vbsmem es un parche, algo así como un
encoding que los desarrolladores de metasploit
han implementado precisamente para
indetectar archivos maliciosos frente a los
antivirus, el parche lo puedes descargar desde
el siguiente link:
http://dev.metasploit.com/redmine/attachments
/906/vbsmem-1.2.1.patch

Vbsmem enMetasploit
El parche que necesitamos implementar en nuestro
metasploit es precisamente este, el cual nos permitirá
generar scripts mucho mas eficientes frente a la
detección de los antivirus.
El codigo fuente del parche lo podemos apreciar en el
link anterior, claramente se puede ver que esta
programado en ruby, por lo cual se debe tener algo de
conocimiento basico sobre este lenguaje para poderllevar a cabo nuestro objetivo.

Modificando el archivo exe.rb
Bien, antes de seguir debemos de aplicar el parche al
metasploit, pero debemos de modificar el archivo exe.rb que
se encuentra en el siguiente directorio:
/opt/metasploit/msf3/lib/msf/util
Este archivo contiene codigo en ruby al igual que el parche
que acabamos de descargar y contiene toda la configuracion
que nos permiteencodear archivos maliciosos dentro del
metasploit y entre otras cosas.
La revision que se tiene de este archivo es la revision 15548
según mi archivo de configuracion.
Mientras que la revisión del parche es la versión 11873, asi
que podria quedar inservible nuestro Metasploit en caso de
que ocurra algun problema con las versiones.

Modificando el archivo exe.rb
Para que no haya problemasvamos a editar el
archivo manualmente, antes de hacer la
modificacion respectiva, vamos hacer una
copia de nuestro archivo original de la
siguiente manera con permisos de root:
cp exe.rb exe.rb-original
El anterior comando lo ejecutamos desde la
terminal con permisos de root desde el
directorio donde se encuentra el archivo rb.exe

Analizando el parche del Vbsmem
Si abrimos el parchecon cualquier editor de textos plano,
podemos apreciar que el archivo basicamente hace lo
siguiente:
Añade una función to_win32_vbsmem al fichero
lib/msf/util/exe.rb
Añade una opción vbsmem al switch en el que se comprueba
la opción del tipo de encoding para llamar a esta función que
acabamos de crear.
Añade una opción vbsmem a la lista de formatos de la ayuda
(o eso parece)
Crea un nuevofichero data/templates/vbsmem.vbs, que es
una plantilla para la creación de los ficheros.

Editando el fichero exe.rb
Bien para hacer esto, abrimos el archivo exe.rb con un editor de textos
plano, en mi caso use el gedit y pueden abrir el archivo con el siguiente
comando:
sudo gedit exe.rb
Tal y como muestra la siguiente imagen:

Copiando código fuente
Bien ahora para continuar,copiamos la función
to_win32_vbsmem desde el parche hacia nuestro
archivo exe.rb, tomando en cuenta que debemos de
borrar los comentarios que están el la función “+” ya
que si no borramos los comentarios el código copiado
no tiene ninguna funcionalidad

Imagen1: Copiando la Función
vbsmem

Imagen 2: Pegando la Función
Vbsmem

Aclaraciones sobre el
Copiado/Pegado
Bueno, se debe aclararque la función del
vbsmem lo debemos copiar sin el signo “+”
como mencione anteriormente, también
debemos darnos cuenta que hay que copiar la
función al finalizar la función que se encuentra
mas arriba, estos son conocimientos básicos de
programación, tal y como se mostraba en la
anterior imagen, se copia el código fuente
después que termina otra función.

Editando mas opciones...