Ya en 2010, en la conferencia BlackHat
[PDF], David Kennedy ("ReL1K") y Josh Kelley ("Winfang") hablaban de
Powershell como un vector de ataque con el que podían implementar un shell directo o inverso difícil de detectar por AV y HIPS, incluso FUD.
Microsoft Windows 7 SP1 y Windows Server 2008 R2 fueron las primeras
versiones en incluir PowerShell (versión 2.0) instalado por defecto y
desde entonces se ha ido siempre incluyendo en las versiones
posteriores. Hoy, Windows Server 2012 R2 y Windows 8.1 incluyen la
versión 4.0 de PowerShell. Por lo tanto usar PowerShell para atacar a
una máquina Windows es buena idea.
En esta entrada vamos a ver Unicorn, un script en Python escrito precisamente por David Kennedy (Trustedsec) y que se basa en una técnica que presentó junto con Josh Kelley en la Defcon 18: un downgrade en Powershell para inyectar un shellcode en memoria.
En la última release 2.0 de la herramienta se incluyen distintos tipos
de ataque (macro, html/hta, crt, ps1) y para llevarlos a cabo sólo
tenemos que descargarnos el script y tener instalado por defecto
Metasploit.
$ wget https://raw.githubusercontent.com/trustedsec/unicorn/master/unicorn.py
En nuestro ejemplo usaremos además un sencillo script de astr0baby que genera adicionalmente el código C para compilarlo y obtener un ejecutable Win32 que será indetectable por la mayoría de los antivirus actuales.
No hay comentarios:
Publicar un comentario