Desactivar antivirus de una PC (Meterpreter)

0 Comments


Desactiva el Software Antivirus en un PC remoto




En algunos de mis artículos anteriores, he mostrado varias maneras de incrustar un  rootkit en un sistema remoto, incluyendo desbordamientos de búfer del sistema operativo, engañando a la víctima a hacer clic en un enlace a nuestro sitio web malicioso, y el envío de un malicioso PDF  (ARchivo Adobe Acrobat).
 
En cada caso, nos hemos incorporado un  rootkit que nos da el control sobre el sistema. Metasploit tiene un potente detector denominado Meterpreter que nos permite controlar el sistema, enviar más comandos, de la  víctima a otros sistemas, elevar nuestros privilegios, y muchas otras cosas, como veremos.
 
Me centraré a demostrar   cómo utilizar el Meterpreter de varias maneras poderosas. Hoy en día, nos centraremos en cómo utilizar el Meterpreter desactivar la protección antivirus en nuestro sistema de la víctima, lo que es más avanzado que el simple pasar por el programa antivirus, como escribí acerca de la última vez.
 
La desactivación es necesaria porque la próxima vez que el sistema es escaneado por el software antivirus de la víctima, lo más probable es detectar nuestro rootkit y desactivarlo, así que tenemos que tomar medidas preventivas para desactivarlo antes de que nos puede desactivar.
Así que ... abrimos Metasploit y manos a la obra!







Paso 1: Primeros pasos

Estoy asumiendo que ya ha incorporado a su rootkit Meterpreter por uno de los varios métodos que he descrito en mis posts anteriores y que estoy por escribir, y que usted tiene el símbolo del Meterpreter como aparece en la siguiente imagen. 

En esta lección usaré backtrack 


 
 
 
 
Antes de que podamos comenzar a matar el software AV, tenemos que intensificar nuestros privilegios.

Por lo general, cuando nos integramos un rootkit en el sistema de la víctima, el rootkit sólo tienen los privilegios del usuario que nos proporcionó una puerta de entrada a su sistema haciendo clic en el sitio web malicioso, doc Oficina, Abobe PDF, etc.
 
Ese usuario más a menudo tiene derechos limitados o privilegios en el sistema. Derechos ilimitados para hacer cualquier cosa en el sistema se lleva a cabo por el administrador o el administrador del sistema (o administrador de sistemas para abreviar).

Tenemos que intensificar nuestros privilegios del usuario sysadmin tener nuestro camino con este equipo.

Paso 2: Comprobación del usuario

Antes de empezar el proceso de escalada, vamos a ver lo que el usuario que ha iniciado sesión como. Escribe el siguente comando:

meterpreter> getuid

Esto devolverá el ID del usuario que ha iniciado sesión como. Si somos nada, pero el administrador del sistema, tendremos que escalar para matar el software antivirus.

Paso 3: escalar privilegios

Metasploit y su Meterpreter hacen que sea fácil de escalar privilegios al administrador de sistemas. Simplemente escriba getSystem en el símbolo del Meterpreter.

meterpreter> getSystem



 
 
 
 
 
 
Observe que Metasploit responde con "... el sistema tiene (con la técnica 1)". Metasploit tiene múltiples métodos para escalar privilegios y se trata cada uno de ellos hacia fuera hasta que se trabaja.
En nuestro caso, que fue un éxito con la técnica 1.

Paso 4: Asegúrate de que somos sysadmin

Ahora que Metasploit nos ha dicho que se ha intensificado nuestros privilegios de administrador de sistemas, vamos a asegurarnos. Escribe el siguente comando:
 
meterpreter> getuid

 
 
 
 
Como se puede ver en mi pantalla de arriba, la víctima responde con NT AUTHORITY \ SYSTEM, el usuario syadmin!

Paso 5: Desactivar el software antivirus

Ahora que tenemos derechos ilimitados a este sistema, vamos a desactivar el software antivirus. 
 
Metasploit tiene un script de Ruby llamada killav.rb. Simplemente corremos el guión desde el símbolo del Meterpreter y desactivaremos el software antivirus del sistema.

Asegúrese de comenzar la secuencia de comandos con la palabra clave plazo. Escribe el siguente comando:

meterpreter> killav.rb ejecutar







 
 
 
 
 
 
 
 
 
Aviso de la imagen de arriba que el guión killav.rb no sólo desactivo el proceso antivirus, sino también el símbolo del sistema abierto.


 
 
 
 

 
Ahora que hemos desactivado el proceso antivirus, podemos permanecer oculto dentro de su sistema y hacer lo que queramos con poca o ninguna posibilidad de ser detectado.
 
Revisa mis demas blogs, donde exploramos más aventuras con el poder de nuestro rootkit incrustado  con privilegios de administrador de sistemas. No hay límite de lo que podemos hacer ahora!

Exploit

No hay comentarios:

Publicar un comentario

Nota: solo los miembros de este blog pueden publicar comentarios.

Instagram