HERRAMIENTAS OFENSIVAS

INTEGRANTES
ALEJANDRO RODRÍGUEZ
PINA
LUIS ROMÁN QUISPE
ÍNDICE
Metasploit 3

Un poco de historia 3

Terminología 4

Herramientas 5

Msfconsole 5

Msfdb 5

Msfvenom 5

Meterpreter 5

Armitage 6

Técnicas empleadas 6

Actores Maliciosos 6
 1. Metasploit
Metasploit es un framework que es utilizado por ciberdelincuentes y piratas informáticos en
búsqueda de vulnerabilidades en equipos de red o servidores.
Metasploit es una herramienta de código abierto, lo cual permite personalizar y usarse en la
mayoría de los sistemas operativos.
Debido a su amplia gama de aplicaciones y disponibilidad de código abierto, es usado desde
profesionales de DevSecOps hasta piratas informáticos. En la actualidad metasploit tiene más
de 1617 exploits organizados en 25 plataformas las cuales incluyen Android, php, Python, java,
cisco y entre otras más. El framework transporta más de 500 payloads que incluyen cargas
útiles para ejecutar scripts, evasión de AV, control de monitoreo mediante VMC y reenvío de
puertos y comunicaciones entre redes.
Esta herramienta fue escrita en su primera edición lanzada en 2003 bajo Perl y en la actualidad
está escrita bajo el lenguaje de programación Ruby y viene preinstalada en el sistema
operativo Kali Linux.

a. Un poco de historia
El creador de esta herramienta muy potente fue HD Moore, un experto que trabaja validando
y desinfectando códigos de exploits públicos, es ahí que lanzó la primera versión 1.0 con tan
solo 11 exploits. Luego con ayuda de Spoonm, lograron reescribir el framework lanzando la
versión 2.0 que incluía 19 exploits y más de 27 payloads.
La herramienta era tan famosa en el ámbito de la ciberseguridad, que a poco de haberse
lanzado la versión 2.0 se les une Mat Miller, un experto en desarrollo.
En el año 2007 se lanzó la nueva distribución 3.0, con esta nueva versión se logró adaptar a
muchas plataformas, así como se vio el aumento de usuarios que contribuyen al proyecto.
Para el año 2009, la empresa Rapid7 quién era el líder en escaneo de vulnerabilidades llegó
adquirir el proyecto Metasploit. Desde entonces se han logrado desarrollar muchas variantes
de metasploit como:
● Metasploit Pro.
● Metasploit Express.
 2. Terminología
Metasploit define módulos que son capaces de ejecutar una acción precisa cómo explotar o
escanear. Los módulos que la integran son la parte principal del framework. Cada módulo
depende del tipo de acción a realizar, la mencionamos a continuación:
● Exploit: este módulo se aplica para aprovechar la vulnerabilidad de un sistema para
crear acceso en la víctima. Este módulo explota dicha vulnerabilidad que pueda
encontrar ya sea en la aplicación o sistema.
● Payload: no son más que un conjunto de códigos maliciosos que se ejecutan después
de que el exploit se haya infiltrado en la víctima. Con este módulo nos permitirá
controlar la forma en la que nos conectamos a la Shell y así poder diseñar un objetivo
más específico.
● Auxiliary: solo son herramientas complementarias que no necesitan de un payload para
poder ejecutarse.
● Encoders: con este módulo podemos convertir los códigos para poder evadir los
controles como antivirus o firewalls.
● Nops: no son más que modificadores de payload ayudándonos a no ser visible para la
máquina víctima y evitando la detección de los antivirus.

Figura 1: Framework Metasploit.

a) Msfconsole
Msfconsole es la interfaz predeterminada de metasploit y brinda todos los comandos que se
necesita para interactuar con el framework.

b) Msfdb
Si se trabaja con redes de gran magnitud, lo más probable es que se necesite un lugar para
almacenar los datos. MSDFB incluye los resultados del análisis, credenciales de inicio de sesión,
etc. Metasploit ofrece una herramienta de administración de bases de datos llamada
msfdb.msfdb y funciona sobre una base de datos PostgreSQL y le brinda una lista de
comandos útiles para importar y exportar sus resultados.
MSFDB puede importar los resultados del análisis desde herramientas externas como NMAP o
Nessus.

c) Msfvenom
MsfVenom permite cargar payloads personalizadas según el objetivo. El uso de antivirus o
firewall puede hacer que un sistema de destino sea relativamente seguro. En esos casos, es
posible que los payloads de metasploit no funcionen, ya que son genéricas para todos los
sistemas que pertenecen a un sistema operativo o un servicio.
MsfVenom se ha creado de 2 combinaciones de herramientas antiguas como msfpayload y
msfencode. MsfVenom permite crear y codificar payloads para los exploits.

d) Meterpreter
Meterpreter es un payload avanzado en metasploit, a diferencia de otros payloads que realizan
una función consecutiva, es dinámico y se puede programar en la marcha. Si puede explotar
un sistema e inyectar el meterpreter, se puede hacer lo siguiente:
● Establecer comunicación cifrada entre un sistema y el objetivo.
● Volcar los hashes de contraseña del sistema de destino.
● Buscar archivos en el sistema de archivos del objetivo.
● Cargar/descargar archivos.
 ● Tomar instantáneas de la cámara web.
Meterpreter es sigiloso, ya que permanece en la memoria del objetivo y es extremadamente
difícil de detectar, herramientas forenses no la pueden detectar.
Se puede escribir scripts en la marcha usando Ruby para llevar a cabo funciones
personalizadas, así como también tiene un módulo de Python que brinda comandos
adicionales.

e) Armitage
Armitage es una interfaz gráfica de usuario para metaspoit y es escrita bajo Java. Es un gran
complemento para pentesters y la principal característica es visualizar los objetivos
automatizando tareas.

4. Técnicas empleadas
Como se mencionó anteriormente, quienes usan estas herramientas son los pentesters,
hackers éticos, ciberdelincuentes, equipos como red team & purple team.

Figura 2: Fases de un pentesting.

5. Actores Maliciosos
En el mundo de la ciberseguridad, existen actores que hacen uso de esta herramienta porque
ofrece muchas ventajas y está adecuada para múltiples plataformas lo cual la hace muy
versátil.
Cobalt Strike es una herramienta muy conocida por usar el framework de metasploit y que
durante muchos años actores maliciosos han hecho uso para sus ataques. Los grupos que
usaron Cobalt Strike las mencionamos a continuación:
● FIN6: es un grupo avanzado de ciberdelincuentes que se encargaba de robar
información de las tarjetas de pago para luego venderlos en el mercado negro. El
acceso inicial se realizaba hacia una máquina comprometida para luego realizar
ataques de movimiento lateral, teniendo acceso a la red, el atacante era capaz de
encontrar su objetivo principal que son las POS (Point of Sale). FIN6 usó el módulo de
metasploit powershell para descargar y ejecutar un shellcode, y posteriormente
configurar un listener que ejecutaba el shellcode a través de un puerto específico. Y así
lograron distribuir el malware llamado FrameworkPOS o Trinity extrayendo todo el
detalle de las tarjetas de pago de las víctimas.
● Turla: también conocido como Waterbug y se han hecho acreedor de ese apelativo por
usar herramientas malware como Trojan.Wipbot y Trojan.Turla. Este grupo tenía como
objetivo a los gobiernos y complejos militares industriales, pero ahora han ampliado su
rango de ataque a sectores como tecnología, farmacéutica y el comercio minorista. El
caso más sonado ha sido el ataque a Solarwinds y a la cadena de suministro en que
grandes empresas como Cisco, FireEye, Microsoft y SolarWinds fueron víctimas, se
sugiere que existen vínculos no confirmados entre Turla y Kazuar.