viernes, 28 de diciembre de 2012

./Set Turbulence version. Indetectable AV & win7.

Como todos sabéis, estamos en navidad, hace cierto frio, el barsa va por delante del R.Madrid, y entre estas noticias, la más importante creo xD es la aparición de la última versión de SET denominada  4.3 Turbulence.
Os aconsejo leer toda la lista de cambios y features que trae.
En la propia web aparece un vídeo explicando este proceso, en inglés, y el proceso de tracking de e-mails, muy útil para saber que "víctimas" han picado el anzuelo.
La actualización en este caso es tan sencilla como ubicarnos en la ruta de instalación, y ejecutar el script ./set-update. No es tannnn lento como el update de Metasploit.


Y como no, para probarlo, vamos a tirar de una infección mediante un Web Attack.
Es tan sencillo como seleccionar 1 Social -Engineering Attacks. A continuacion 2 Website Attack Method. Después seleccionamos 1.- Java Applet Attack Method. Elegimos entre recrear un sitio web mediante nuestras plantillas, realizando una copia al original o una importación personalizada de un fichero web. elegimos la segunda opción, la de clonar un sitio web, para intentar pasar lo más desapercibidos posible. A continuación nos pregunta si estamos detrás de un sistema NAT, es decir, si queremos usar el ataque en un mismo segmento de red, o estamos en una configuración típica detrás de un router y queremos publicar el ataque hacia "fuera".
Indicamos la ip del "servidor" SET y a continuación la URL que queremos clonar.


Hasta aquí nada nuevo, la gracia de la actualización es que ahora contamos con varios Payloads más. En concreto el que vamos a usar es MultiPyInjector, que lo que hace es ejecutar varios ( los que queramos) payloads de metasploit a la vez,pero con el mismo Applet "vulnerable". No confundir con el MULTIPLE ATTACK VECTOR que lo que hace es tirar unos 40 ataques contra elementos vulnerables web ( lo que comenté en NAVAJA NEGRA).


Elegimos la opción 16. MultiPyInjector Shellcode Injection.
Elegimos el payload Meterpreter, la opción 1, y elegimos el puerto sobre el que quiere montarse. Podemos añadir tantos payloads como queramos.


Ahora tenemos nuestro sistema escuchando por estos puertos, a la espera de algún incauto que acepte un Applet de Java sin firmar xD.
Como se ve esto desde fuera, pues sencillo:


Menos más que al hacer la prueba no he visto ningún otro puerto open xD.
A continuación, vamos a probarlo en un Windows 7 Full Patched con un antivirus comercial, también actualizado.


Podéis ver la web usada para clonar, con su autorización de instalación del Applet. Que hambre de comida y hacking me da esta foto xD.
Y la magia de Meterpreter. Os pongo la foto del AV de la máquina HOST sobre la que he probado.


De momento, a fecha de hoy, y tras más de una semana de actualización, el Antivirus no lo ha detectado. Imagino que en futuras actualizaciones lo hará.

Como siempre, gracias por leerme, espero que os guste !!!!



No hay comentarios:

Publicar un comentario

Gracias por comentar !!

Related Posts Plugin for WordPress, Blogger...