miércoles, enero 11, 2012

Eicar para hacer jailbreak en Terminal Services o Citrix

Uno de los trucos que se me pasó por la mente cuando estuve en Ecuador dando la charla de Terminal Hackplications, fue el de conseguir hacer el jailbreak de la aplicación mediante un viejo amigo del mundo del malware Eicar.

Eicar es un virus de prueba, es decir, no es un virus, es simplemente un fichero firmado como malware por todas las compañías antimalware que se usa para testear canales sin que se te escape un virus por la red. Con esto, cuando se quiere probar si un antimalware está escaneando los ficheros que se suben por Ftp o que se descargan por Http, se pasa un Eicar y se espera la reacción. Si no hay ninguna reacción, es que el antimalware no está protegiendo ese punto del sistema.

Conocido esto, se me ocurrió que una buena forma de salir de la aplicación sería pasar a la consola de monitorización del antivirus y, desde allí, buscar acceso a la ayuda, al panel de control de la impresora, etc...

Para llegar a la consola de monitorización del antivirus lo que necesitamos es un virus y que mejor que Eicar. Además, este fichero se sirve desde Internet con conexiones Http-s lo que permite que, salvo que tenga un servicio de Http-s Inspection como tiene Forefront TMG 2010 y algunos firewalls de gama alta configurado, llegue hasta el servidor Citrix o Terminal Services sin levantar sospechas.

Figura 1: Eicar servido por https

Como podéis suponer, para meter Eicar en la aplicación lo único que necesitamos es una aplicación como Excel o Word, que permita navegar sin navegador. Es decir, que la aplicación haya hecho uso de los controles de Windows para la gestión de ficheros.

Figura 2: Descargando Eicar desde un servidor https

Así que el resto es esperar a ver qué antimalware tienen configurados y qué opciones nos ofrecen para hacer el jailbreak.

Figura 3: Servidores demo de Citrix protegidos

Por supuesto, esto no es solo útil para hacer el jailbreak, ya que conocer el antimalware puede ser muy útil para preparar un malware a medida con técnicas de morphing - incluso de Superman - o mutación que se salte esa solución de seguridad.

Figura 4: Symantec EndPoint Protection vigila este Citrix

Aunque a veces hay sorpresas y te encuentras que hay que preocuparse bastante poco por el antivirus.

Figura 5: Servidor Citrix sin antimalware alguno

Saludos Malignos!

6 comentarios:

Anónimo dijo...

dices que es un fichero firmado como malware por todas las compañias, bien si lo he probado en excel y no pasa nada entonces dices que debo preocuparme demaciado poco por mi antivirus, es sarcasmo? si no pasa nada al abrirlo en word debo preocupame mucho ya que mi av no detecta eicar, sierto?

Anónimo dijo...

Bueno, si lo he entido bien, la idea es un poco inútil porque si tengo posibilidad de abrir ficheros etc. no haría falta recurrir al virus, podría ya hacer jail break sin necesidad del virus.

Maligno dijo...

@anónimo 1, si no te detectan eicar, es que en esa parte no se está comprobando en ese punto.

@anónimo 2, no. En algunos entornos están bloqueadas por ACL las rutas y las variables de entorno también, así que para saltar a otra App e intentar llegar a otro punto del sistema puede venir bien.

Saludos!

Anónimo dijo...

Disculpe señor maligno.
Pero más allá que tal vez conocer la posible solución AV o la falta de ella. No le estoy encontrando mucha funcionalidad.
Si se pudiera extender con algún ejemplo se lo agradecería

Saludos

lusser dijo...

y cual es la gracia de todo esto? puede poner algun ejemplo pero real por favor.

vierito5 dijo...

Algunos antivirus como McAfee aunque lo detectan como positivo si lo escaneas adrede no saltan si es el EICAR, supongo que será precisamente para informar de que están ahí en estos casos

Entradas populares