viernes, 7 de julio de 2017

Crear una Backdoor fuera de conexión local para infectar Windows (Parte I - Introducción a los puertos y Shellter)

En antiguos artículos publique una explicación de como infectar Android desde conexión local, pero muchos de los que leísteis el artículo se quedaba un poco corto en el aspecto de eso la conexión solo local. En este artículo intentaré explicar lo más exactamente posible como infectar un máquina Windows fuera de nuestra propia red desde el SO Kali Linux. 


Utilizaremos la aplicación shellter para crear el exe infectado. Para poder activar la escucha desde tu PC deberemos abrir puertos en concreto, yo abriré los puertos 6666, aquí dejaré un pequeño enlace donde se explica como abrir los puertos en el caso de cada router, vamos una visión un poco más general.


+ Ver abrir puertos.

A continuación descargaremos cualquier aplicación .exe a infectar, como pueden ser instaladores de diferentes herramientas supuestamente no peligrosas para el sistema. En mi caso lo haré con Skype.
Apuntar que al ser shellter un programa .exe deberemos tener antes Wine configurado y actualizado correctamente. Descargaremos Shellter y descargaremos también el programa en cuestión que queramos infectar e iremos al directorio con los ya tradicionales.
cd Escritorio/
cd shellter/ 
Con esto llegaremos a la ruta donde crear nuestro .exe. Para ello tendremos que ejecutar shellter con la orden
wine shellter.exe
Y ponerlo en automático, con la entrada "a", desde ahí tendremos que seleccionar la aplicación que queremos infectar, en mi caso SkypeSetup.exe y entonces veremos como se integra la nueva dll para crear el backdoor en Windows 10.

Nos pregutará si queremos que la aplicación se abra o solo queremos abrir el dll, normalmente se selecciona la primero pero como esto es solo un pueba pondremos "n" para que no se nos abra toda la parafernalia de Setup.

A continuación en la línea:
SET LHOST:
SET LPORT:
Pondremos nuestra IP pública en LHOST y en LHOST, simplemente, los puertos previamente abiertos a la hora de abrir los puertos en el router.

Y ya cuando le damos enter veremos que ya estará terminada la inyección. En la segunda parte explicaré la parte de Metasploit para ejecutar el Payload en la máquina infectada. 

viernes, 19 de mayo de 2017

Fé de erratas 1, WannaCry, wireless decript y demás

Llevo ya tiempo escribiendo éste blog, durante el proceso he tenido varios errores que he afirmado como válidos en el momento por no contrastar información o no hacer pruebas de Sofware o Hardware debidamente.

En este artículo enumeraré los errores, sus posibles soluciones y, en el caso de errata sin solución enumeraré en lo que he fallado. 



En el reciente artículo del ransonware wannacry, dije que no se puede desencriptar el disco, ya que con la información que trabajé fue bastante más anterior al artículo y no me molesté en buscar info más reciente. Dicho esto intentaré explicar lo más conciso posible como desencriptar archivos si a tí te ha afectado dicho Malware. Me basaré en un artículo recientemente publicado por Chema Alonso, experto en Cyberseguridad, ejecutivo en Telefónica y fundador de la empresa subcontratada de Telefónica, Eleven Path.

-> Artículo de Chema

**AÑADIR NO ES POSIBLE O DE MOMENTO RECUPERAR TODOS LOS ARCHIVOS**

La solución no es simple, pero si se aplica correctamente, podrás recuperar las siguientes extensiones de archivos que para los que trabajamos con ficheros de texto y archivos de bases de datos nos puede resultar muy útil. Aquí la lista completa de archivos recuperables con éste método.

•.lay6 •.sqlite3 •.sqlitedb •.accdb •.java •.class •.mpeg •.djvu •.tiff •.backup •.vmdk •.sldm •.sldx •.potm •.potx •.ppam •.ppsx •.ppsm •.pptm •.xltm •.xltx •.xlsb •.xlsm •.dotx •.dotm •.docm •.docb •.jpeg •.onetoc2 •.vsdx •.pptx •.xlsx •.docx

Y aquí los archivos exentos de WannaCry:

  • .doc – Legacy Word document.
  • .dot – Legacy Word templates.
  • .wbk - Legacy Word document backup.
  • .xls – Legacy Excel worksheets.
  • .xlt – Legacy Excel templates.
  • .xlm – Legacy Excel macro.
  • .ppt – Legacy PowerPoint presentation.
  • .pps - Legacy PowerPoint presentation.
  • .pot – Legacy PowerPoint template.
  • .pps – Legacy PowerPoint slideshow.
  • .pdf - Portable Document Format.
  • .odt - Open Document Text.
  • .ods - Open Document Spreadsheet.
  • .odp - Open Document Presentation.
  • .odg - Open Document Graphic.
  • .sxw - Open Office Binario.
  • .rtf - Rich Text Format.
  • .tmp - PowerPoint Temporary PPT.
  • .xar - Excel Temporary XLS.
  • .asd - Word Temporary DOC.

Y quizás la forma más simple de recuperar los archivos sería tener una copia de seguridad o en la nube o en un disco duro externo pero si nuestra nube no está protegida contra este tipo de ataques será inútil intentar recuperar algo de la forma tradicional.

Para salvar archivos, afectados por WannaCry nos podríamos fijar en que dichos archivos van a para a la carpeta %temp% eso significa que después de la encriptación, manda los ficheros encriptados con sólo una extensión cambiada (.WCNYT) lo que significa es que los archivos de esta carpeta serán ficheros temporales los cuales (previamente con el malware fuera del pc) se podrán desencriptar con un simple cambio de nombre.

**WANNACRY SE PODRÁ ELIMINAR CON LA SIGUIENTE HERRAMIENTA LIBERADA POR ELEVEN PATH EN HITHUB, AQUÍ UN VÍDEO EXPLICATIVO



En siguientes artículos iré enumerando más erratas en este blog y como solucionarlas con el fin de ser lo más instructivo posible y que no os confundáis con la práctica de las técnicas aquí mencionadas.



Fuentes: http://www.elladodelmal.com/2017/05/como-recuperar-ficheros-afectados-por.html