martes, agosto 30, 2016

TheFatRat: La Rata Gorda lucha contra los AntiMalware #Metasploit #malware #pentesting

Echando un ojo a muchas de las herramientas que salen diariamente en Internet relacionadas con el mundo de la seguridad me llamó la atención TheFatRat. Desarrollada por Edo Maland y ayudado en módulos de evasión de AV por Daniel Compton de NCC Group, es un script que ayuda a la generación de binarios en diferentes plataformas con el objetivo de lograr buenos resultados en la lucha contra la detección de antivirus. Lo que se dice, una imagen del binario FUD = "Fully UnDetectable". En otras palabras, en una herramienta de botón “grueso” que permite generar backdoors con msfvenom con Meterpreter de tipo reverse TCP como payload.

Figura 1: TheFatRat lucha contra los antimalware

Decidí evaluar algunas de las características que nos ofrece TheFatRat. En un primer vistazo podemos ver que se nos permite crear backdoors de 3 formas distintas: a través de msfvenom, una imagen FUD (Fully UnDetectable) a través de Powerfull o crear una copia FUD a través de Avoid 1.2 de Daniel Compton. Además, la herramienta nos permite:
• Arrancar un TCP listener para obtener las sesiones, una vez los binarios hayan sido ejecutados.
• Drop into de nuestra quería msfconsole.
• Realizar búsquedas de exploits a través de searchsploit.
¿Qué necesitamos?

En primer lugar, una vez lo descarguemos de su Github, necesitamos poner con permisos de ejecución el fichero fatrat y powerfull.sh. Durante el lanzamiento del script fatrat se chequeará sobre los requisitos de la aplicación, un Metasploit instalado, searchsploit, un PostgreSQL y algunos compiladores necesarios para realizar algunos FUD.

Utilizando Searchsploit

Antes de comparar binarios y resultados vamos a comentar una funcionalidad que trae TheFatRat y es Searchsploit. Esta es una herramienta de exploit-db, con la que se tiene todos los exploits disponibles en su base de datos en modo offline. TheFatRat permite realizar búsquedas sobre los exploits que tengamos en modo offline gracias a exploit-db y su searchsploit. En la siguiente imagen se puede ver las diferentes opciones de TheFatRat. En sexto lugar encontramos searchsploit.

Figura 2: Menú de TheFatRat

Una vez introducimos la opción de Searchsploit, TheFatRat nos solicitará el contenido a buscar. Para este ejemplo probamos con Zabbix 2.0.5, recordando al módulo que implementé para Metasploit sobre la vulnerabilidad CVE-2013-5572. Searchsploit nos da la ruta, dentro de la aplicación offline que viene en Kali Linux 2.0 de exploit-db, y el nombre del fichero que contiene el exploit. En la imagen se puede ver la ruta y el nombre del módulo “Cleartext ldap_bind_password”.

Figura 3: Módulo para Zabbix 2.0.5

Si accedemos a la ruta podemos encontrar el código del módulo, en esta ocasión para Metasploit. Interesante herramienta para descubrir exploits en modo offline, por si en alguna auditoria interna no tenemos acceso a Internet. Además, nunca se sabe cuándo se puede reutilizar el código.

PoC: Backdoor con msfvenom y TheFatRat

Ahora vamos a comentar las posibilidades para la creación de backdoors con TheFatRat. Utilizando la opción 1 del script accedemos a un submenú dónde se pide que indiquemos la plataforma. Como se puede ver hay gran diversidad de lenguajes y plataformas sobre las que se puede crear la backdoor. Realmente, se está haciendo uso de las opciones que Metasploit dispone y que pueden verse desde la consola con generate -h, dentro de un tipo de módulo payload.

Figura 4: Elección de plataforma Windows en TheFatRat

Se utilizan diversos encoders automáticamente, con varias iteraciones, pero al pasar la prueba de Virus Total encontramos que los resultados no son excesivamente buenos. 42 de 57 antivirus han detectado el binario como malicioso, por lo que la prueba de bypass de AV no ha sido muy satisfactoria.

Figura 5: En Virus Total 42 de 57 motores de AV detenta como malicioso el fichero

Hay que recordar el análisis que se hizo de The Shellter, Veil-Evasion y PayDay, dónde The Shellter salió muy bien parado. Parece que TheFatRat no saldrá tan bien parada. Tal vez es porque ha llamado demasiado la atención del mundo del malware y los laboratorios de las casas de antivirus han puesto esfuerzo en firmar los trucos que realizan para saltárselos. Así es el juego del gato y el ratón (o la rata).

PoC: Backdoor con Avoid 1.2

Ahora vamos a probar otra de las opciones, en este caso de tipo FUD, que proporciona TheFatRat. Elegimos la opción número 3 de la herramienta y nos pedirán el nombre del fichero de salida, el nombre del fichero de autorun que queremos utilizar y luego los datos sobre la dirección IP y el puerto.

Figura 6: Crear un Backdoor con Avoid 1.2

Una vez hemos introducido los campos necesarios, esta herramienta de Daniel Compton nos solicitará qué tipo de binario, en cuanto a tamaño, queremos crear. Para esta prueba de concepto hemos introducido la opción de Stealth, entre 1 y 2 MB, con una compilación rápida, pero se recomienda probar una generación Super Stealth ;)

Figura 7: Opciones del backdoor con Avoid 1.2

Los resultados obtenidos en Virus Total son mucho mejores al caso anterior, aunque aún bastante mejorables. Aún 18 de 57 motores de antivirus detectan el binario generado como malware. Por esta razón, deberíamos intensificar esfuerzos o probar otro tipo de soluciones con mejores resultados, como por ejemplo The Shellter.

Conclusiones

TheFatRat es una interesante herramienta que permite generar backdoors de cara a un posible ethical hacking. Además, incluye un pequeño script de búsqueda a través de Searchsploit con el que poder buscar exploits en modo offline.  En el siguiente vídeo tienes una demostración del proceso que hemos visto en este artículo.


Figura 8: TheFatRat lucha contra los antimalware

Además, se integra perfectamente con Metasploit, a través del uso de listeners e interacción con msfconsole. Herramienta interesante para probar en vuestro laboratorio y para tener un ojo encima y ver cómo evoluciona.

Autor: Pablo González Pérez (@pablogonzalezpe)
Escritor de los libros "Metasploit para Pentesters", "Ethical Hacking", "Got Root" y “Pentesting con Powershell

2 comentarios:

Inseguro y Navegando dijo...

Poc a poc le decía la gallina al gallo...
Muchas gracias por la info Pablo!!!

Saludos!

Erick Cedeño dijo...

Una pregunta, los libros yo los puedo comprar desde Panama?

Entrada destacada

Infraestructuras Críticas y Sistemas Industriales: Auditorías de Seguridad y Fortificación de @0xWord

Desde hoy está disponible a la venta un nuevo libro de 0xWord centrado en la seguridad de los Sistemas Industriales y las Infraestructuras...

Entradas populares