Criando um canal criptografado praticamente indetectável com RECUB

Passamos muito tempo aprendendo a comprometer os sistemas Windows, e nós o comprometemos com sucesso com o Metasploit , quebrou suas senhas e pirateamos seu Wi-Fi . No entanto, muito pouco tempo foi desenvolvido para desenvolver maneiras de extrair a informação do sistema, uma vez dentro.




Basicamente, se comprometermos um sistema, provavelmente teremos alguns dados dentro. Se assim for, precisamos de uma maneira de obter os dados sem ser detectados. Na maioria dos sistemas, é provável que haja um IDS ou IPS à procura de pacotes maliciosos, dentro e fora. Além disso, um administrador de segurança vigilante notará quando uma nova porta ou serviço estiver aberto.

Idealmente, o melhor método de extração de dados seria indetectável do administrador do sistema ou de outros para que eles não possam fechar nosso caminho de extração. Como uma exfiltração muitas vezes pode levar horas, dias ou semanas, precisamos de um canal secreto que não pode ser detectado pelos dispositivos de segurança ou pelo administrador de segurança.

Como permanecer sem ser detectado quando dados de extrusão

Neste tutorial, vou mostrar-lhe uma ferramenta chamada RECUB que criará um canal secreto em um sistema Windows ou Linux que é virtualmente indetectável por um sistema de detecção de intrusão, escaneamento de nmap ou mesmo as próprias ferramentas do sistema operacional.

Uma descrição rápida do RECUB

A Microsoft descreve RECUB dessa maneira em seu site :

“Esta ameaça é classificada como um trojan de backdoor. Um trojan de backdoor fornece acesso remoto, geralmente subrepticiamente, aos sistemas afetados. Um trojan de backdoor pode ser usado para realizar ataques de negação de serviço distribuídos (DDoS) ou pode ser usado para instalar trojans adicionais ou outras formas de software mal-intencionado “.

“Por exemplo, ele pode ser usado para instalar um troyano de downloader ou conta-gotas, que pode, por sua vez, instalar um trojan de proxy usado para retransmitir spam ou um trojan de keylogger que monitora e envia pressionamentos de teclas para atacantes remotos. Também pode abrir portas no sistema afetado e, portanto, potencialmente levam a um maior compromisso por outros atacantes “.

“Esta ameaça é detectada pelo mecanismo antivírus da Microsoft. Os detalhes técnicos não estão disponíveis no momento.”

Passo 1 Baixar RECUB

Você pode baixar o RECUB aqui . RECUB possui uma arquitetura cliente / servidor, então você precisará colocar o servidor no alvo e no cliente em nosso sistema de ataque.




Etapa 2 Instale o servidor RECUB no sistema de destino

Instale-o no servidor RECUB clicando em RecubSvr.

 

O servidor executará silenciosamente em segundo plano até que seja despertado pelo cliente ativando-o.

Etapa 3 Instale o cliente RECUB em seu sistema de ataque

Agora, instale o RecubClient.exe no sistema de ataque e execute-o como administrador. Deve ter uma interface GUI como essa abaixo.




Agora, digite o endereço IP e a porta na qual você deseja que RECUB se comunique. Utilizei a porta 31337, mas você pode usar qualquer porta. A senha é 123 e não pode ser alterada sem recompilar o RECUB, então não vamos mudar.

Etapa 4 Enviar o ICMP criptografado

Para ativar o servidor, o RECUB usa um pacote ICMP criptografado. Clique no botão “Enviar Lei. Ping” e envia o ping que ativa o servidor no alvo.

O servidor RECUB irá interceptar o pacote, descriptografá-lo e fazer uma conexão de volta para o cliente. Isso abrirá um shell de comando no sistema cliente que lhe dá controle do sistema de destino!

Melhor ainda, poderíamos usar a porta HTTPS 443, de modo que, para o administrador de segurança, isso parecerá o tráfego HTTPS normal.

Passo 5 Teste se Snort pode detectá-lo

Agora que temos um canal secreto em execução entre esses sistemas, vamos usar um IDS como Snort para ver se ele pode detectar o tráfego. Vamos usar Snort no nosso sistema Kali ou BackTrack para cheirar o tráfego entre essas duas máquinas e ver se ela aciona um alerta.

Como você pode ver, este canal secreto é totalmente invisível para Snort e não desencadeia nenhum alerta.

Etapa 6 Teste se o Nmap pode detectá-lo na porta aberta e no serviço

Em seguida, como nosso canal secreto para exfiltração de dados pode precisar estar aberto por dias ou semanas, é importante que um administrador de segurança vigilante não possa detectá-lo.

Alguns dos melhores e mais vigilantes administradores de segurança farão uma varredura periódica de portas e serviços abertos em suas redes. Desta forma, eles podem ver se um sistema ou rede foi comprometida.

Em muitas de nossas façanhas , abrimos um canal de comunicação entre nosso sistema de controle e o sistema de vítimas. Se o sysadmin digitalizar o sistema enquanto estiver no local, eles verão uma porta aberta não autorizada. Isso levará à sua ação que provavelmente fechará essa disponibilidade.

Agora, vamos fazer uma análise do nmap do sistema com o servidor RECUB e ver se podemos detectar o canal secreto. No comando abaixo, -sT scan para portas TCP, -sUverifica para portas UDP e -p0-65535 informa o nmap para verificar todas as portas.

  • nmap -sT -sU -p0-65535 10.59.27.89




Como você pode ver, o nmap não detecta nenhuma porta incomum aberta no sistema com o servidor RECUB.

Etapa 7 Teste se o processo RECUB é visível

O canal secreto RECUB é quase indetectável, mesmo pelo próprio sistema operacional! Uma das ferramentas que temos para visualizar nossos serviços em execução é Task Mananger. Vamos abrir o Gerenciador de Tarefas e ver se ele mostra o processo RecubSvr.exe.

Como você pode ver, mesmo o sistema operacional em si não pode detectar o serviço!

RECUB é uma das muitas ferramentas que colocamos no sistema de vítimas que nos permitirá controlar o sistema de vítimas e remover os dados que buscamos. É largamente indetectável pelo IDS, o nmap ou o próprio sistema operacional. Algumas ferramentas de terceiros podem detectá-lo, mas a maioria dos administradores de segurança nunca parecerão profundamente capazes de detectar um canal de conversão na vítima e, ao mesmo tempo, podemos remover silenciosamente dados sem detecção ou interrupção.




Você pode gostar...

1 Resultado

  1. lucas emanoel disse:

    Cara belo texto . mais como baixar kali linux no android e como Elliot (mr-robot) e como segue capitura os dados das vitimas so ligando pra o celular dele ? Vlw

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *