Protégete de Metasploit con Patriot NG 1.0 !!!

Saludos N3WB13S

Los tenia un poco abandonados pero bueno vine con algo bueno, se trata de Patriot NG 1.0 herramienta de la cual me entero gracias a  Security by Default, quise traerselas porque nunca sabemos cuando ni quien nos ataca y con esta tool podremos curarnos un poco en salud…

 

Que es Patriot NG 1.0 ?

Según sus creadores de Security Proyects es una herramienta de tipo ‘Host IDS’ que permite monitorizar en tiempo real cambios en sistemas Windows.

Que Monitoriza Patriot ?

  • Claves del registro: Indicando si alguna key sensible (autorun, configuración Internet Explorer …) es alterada
  • Ficheros en los directorios ‘Startup’
  • Nuevos usuarios creados en el sistema
  • Nuevos servicios
  • Cambios en el fichero Host
  • Nuevos trabajos en el ‘Task Scheduler’ de Windows
  • Alteración de la integridad de Internet Explorer (Nuevos BHOs, cámbios en la configuración ..)
  • Monitorización de la tabla ARP del sistema (prevención de ataques MITM)
  • Nuevos Drivers cargados en el sistema
  • Nuevos recursos compartidos NetBios
  • Protección TCP/IP (Nuevos puertos abiertos, nuevas conexiones realizadas por procesos, detección de PortScans …)
  • Monitorización de directorios críticos del sistema (Nuevos ejecutables, nuevas DLLs …)
  • Creación de ventanas ocultas (cmd.exe / Internet Explorer mediante objetos OLE)
  • Conexiones al sistema por NetBios a recursos compartidos

Detectando un ataque  !!

El exploit que usaremos va a ser windows/browser/ms10_046_shortcut_icon_dllloader (el fallo de los .lnk), el cual vamos a explotar a través de Internet Explorer. Como payload usaremos windows/shell_reverse_tcp para obtener el control del equipo remoto mediante consola de comandos.

Metasploit abrirá un puerto, al que conectaremos con IE. La configuración es la siguiente:

Al conectar al puerto, IE abre una carpeta compartida donde tenemos el .lnk y un .dll. Patriot nos avisa de que ha detectado una ventana oculta del proceso cmd.exe y una nueva conexión abierta por el proceso svchost.exe. Esto significa que en un principio el ataque está funcionando, ya que si cmd.exe se está ejecutando quiere decir que el payload se ha cargado.

Vamos a decirle a Patriot que permita las conexiones de red, y que nos muestre la ventana oculta del proceso cmd.exe:

Ahí tenemos la consola con la que interactúa nuestro atacante, la cual estaba oculta pero Patriot ha hecho visible. Si la cerramos, la interacción con la víctima por el lado de Metasploit termina, es decir, el atacante pierde el control sobre la máquina afectada.

Este es un ejemplo sencillo con el que podemos ver como Patriot puede hacer visibles ventanas ocultas, y como nos ayuda a repeler (e incluso “desmantelar”) un ataque de este tipo.

  1. No trackbacks yet.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: