ATAQUE EVILGRADE: ACTUALIZACIONES MALICIOSAS TROYANIZADAS 👿💀💻

"ATAQUE EVILGRADE"👿💀💻

"Actualizaciones maliciosas troyanizadas"

Una de las cuestiones mas importantes que siempre me pregunto es que si las personas alguna vez se dan cuenta de lo importante que son las actualizaciones y estas a su vez son importantes para el usuario es como un ciclo sin fin un bucle del que ni tu ni yo podemos escapar, pero aqui hay una pregunta super importante y es que me pregunto yo si algunas personas verifican que las acgtualizaciones sean de la fuente proveniente original o del emisor de quien dice ser, para ser sinceros nunca lo hacemos al menos yo no lo hacia siendo un informatico hace apenas un tiempo atras, y es que el articulo del que trataremos a continuacion de esto se trata un ataque simple pero efectivo que algunas veces con un poco de ingenieria social puede dar un ataque con una efectividad de un 90% por no ser un poco algo exagerados.

y es que dicho ataque se aprovecha de otra intencion como es el ataque de hombre en el medio como el espofeo de dns o el espofeo de arp cualquiera de las dos tecnicas maliciosas es bienvenida aqui mismo ya que una vez controlado el trafico tanto de la victima como de su equipo, podremos decir que ya tenemos un 80% del trabajo casi hecho le ponemos un poco de ingenieria social y listo podremos controlar a nuestra victima.

como podemos ver en la imagen anterior, esta es solo una de las tecnicas de las que podemos disponer si vamos a usar el ataque que veremos a continuacion que es la famosisima Evilgrade que como te habras dado cuenta es un juego de palabras y dice evil de malicioso y grade de upgrade o de actualizaciones, en este caso lo primero que tenemos que hacer es descargar e instalar evilgrade en nuesgtro sistema operativo favorito, lo que hace simplemente esta herramienta es agregar un payload o carga util como metasploit a una actualizacion y lo encodea asi como ofuscacion para que no sea detectable a simple vista por las medidas o mecanismos de seguridad de la vcitima.

Como vemos en las descripciones de la imagen podemos analizar que ya viene incluida como una herramienta por defecto en kali linux pero si utilizas otro sistema operativo de tu eleccion tendras que descargarlo desde su url o repositorio github oficial donde se encuentra alojado el codigo fuente del proyecto junto con su documentacion, una vez inicializado veremos una pantalla como la siguiente.

no es el obetivo de este articulo o paper hacer un envenenamiento del trafico de la victima por lo que se asume que ya se ha logrado este paso.

como podemos ver tiene infinidad de opciones y hasta podemos levantar virtual host o host virtuales para hacerle ala victima un poco mas creible el engano o la manipulacion con ingenieria social para que el ataque tenga el efecto mas duradero.

una vez esto, tenemos que comprobar los modulos que tenemos disponibles para verificar nuestros ataques que podemos efectuar.

podremos ver todos las decenas de modulos de los que cuenta esta espectacular herramienta , tenemos modulos para haceros pasar por cualquier actualizacion de casi cualquier software con un poco de ingenieria social y un listener con metasploit y vuala tendremos una conexion inversa, atravesando los perimetros de seguridad que esten mal implementados o mal securizados, es por ello que los atacantes intentan hackear o lograr conexiones reales mediante las conexiones inversa como las que se pueden crear con las caracteristicas incluidas dentro de linux o mediante los listeners incluidos en metasploit con meterpreter entre otros detalles.

como podemos ver en la documentación de github del framework podemos simular un vhost para hacerle creer a la victima que su trafico http es seguro completamente y que esta ante una autentica direccion real, cuando en realidad no es asi en absoluto y estamos ante una actualizacion de un programa troyanizado para poder tomar control total del dispositivo.

podemos ver que es similar a la metodologia que utiliza metasploit o meterpreter cuando hacemos un pentest, es decir podremos elegir el modulo que mas nos convenga para la situacion en la que nos encontremos asi como otros factores correspondientes.

cabe aclarar que aqui no se mostrara como instalar y que otros repositorios o paquetes dependientes son necesarios para su posterior instalacion, para ello se pueden consultar muchos tutoriales a traves de la web, aqui se ira al grano puntualmente que es lo que realmente puede hacer esta fabulosa herramienta y como lo hace mediante que tecnicas y metodos asi como los mecanismos para evadir la seguridad perimetral , los modulos y como su fonciguracion interna para los posteriores ataques y hacer que la victima caiga en la trampa al 90% de la tasa de probabilidad.

podemos ver que al seleccionar el modulo, tenemos varias opciones disponibles y caracteristicas asi como funcionalidades que podremos cambiar a nuestra conveniencia y en determinados entornos, por ejemplo tenemos la opcion de nombre asi como de version para que sea mas creible para la victima caer en el binario de actualizacion supuestamente real, ademas podremos editar el autor y la descripcion asi como el virthualhost para hacer creible el ataque y que el usuario no tenga sospecha alguna como lo hemos mencionado anteriormente dentro de este articulo.

vemos que una vez configurado lo anterior, se nos enlista la tabla que nos proporciona como va la informacion remarcada al igual que se haria con metasploit, una vez hecho esto podremos inyectar el agente que es el binario falso por asi decirlo, tambien se hace uso de msfpayload o incluso se puede hacer uso de venom o veil-evasion para poder ofuscar nuestro binario y que no sea tan facilmente detectable por los antivirus asi como los defensores de los sitemas operativos o de las medidas de perimetros de seguridad como los cortafuegos, ids , ips, etc.

Un detalle que hay que aclarar es que tendremos que configurar bien los servidores DNS para que el trafico del usuario interceptado se pueda controlar a nuestro antojo como atacantes.

he visto en la red tambien guias que comprenden al framework MITFM que es un framework que se encarga de hacer el ataque de hombre en el medio para interceptar toda la comunicacion de una red, esto se puede combinar en conjunto ccon evilgrade y hacer mas persistente el ataque de actualizaciones troyanizadas obligando casi casi al usuario a que acepte la actualizacion maliciosa dentro de la red.

vemos que estamos haciendo uso de msvenom para intentar cifrar el binario lo que mas se pueda, entre mas iteraciones tenga la ofuscacion menor sera la probabilidad de que un antivirus o seguridad perimetral nos detecte y nos elimine el ataque o que inclusive no llegue a manos de la victima.

pro ello es muy importante la ofuscacion dentro de las iteraciones maximas posibles, eso si , entre mas iteraciones de cifrado tenga nuestro ejecutable entonces el peso maximo de archivo sera incrementado lo que puede en primera instancia volver sospechoso al archivo si la victima posee algun tipo de conocimiento en informatica, si se llegara a examinar el binario malicioso con un editor hexadecimal podriamos ver la estructura del archivo muy extraña o con detalles que nos haran sospechar que algo esta pasando tras bambalinas por ello es muy importante analizar a que tipo de victima ira dirigido el ataque para perfilarlo segun la victima o el conjunto de victimas.

podemos ver que la herramienta evilgrade levanto un servidor web en espera de alguna conexion entrante por parte de nuestra victima, esta a la espra al igual que algun listener de metasploit como veremos mas adelante.

ahora vamos a configurar metasploit en el mismo puerto del que configuramos en msfvenom o evil-evasion cualquiera de las dos herramientas para encodear o cifrar nuestro ejecutable creado por evilgrade es completamente valida siempre y cuando se implementen las configuraciones correctas.

lanzamos metasploit y esperamos un listener como vemos en la imagen:

vemos que la conexion en reversa esta esperando algun flujo de comunicacion para recibir el ataque y estamos listos para que el usuario solamente caiga en la trampa y tenerlo bajo nuestro control.

ahora solo nos falta efectuar algun ataque de hombre en el medio para hacer que la victima se rediriga hacia nuestros servidores maliciosos ene este caso el ataque mas efectivo para estos casos es el spoofing o falseo de servidores DNS, tendremos que configurar los archivos correspondientes para anadir las redirecciones precisas por ejemplo si es una actualizacion falsa de adobe, tendremos que investigar cuales son las direcciones o los sitios a los que la actualizacion se conecta y colocarlos dentro del archivo de redirecciones de dns dependiendo de lo que estemos utilizando.

en la anterior imagen se ha usado ettercap con el ataque dns spoofing para redirigir las peticiones falsas hacia nuestro dns falso y asi perfilar el ataque, cuando el software legitimo que la victima tenga instalado le pida una actualizacion, nuestro dns reemplazara a las direcciones reales, es decir cuando el software haga una actualizacion a la fuerza o que el usuario busque por si mismo en el software si existen actualizaciones automaticas, entonces el software intentara conectarse a las direcciones correspondientes desde donde descarga el ejecutable y realiza la actualizacion a lo que en dado caso nuestro servidor dns respondera redirgiendo a la victima hacia nuestras direcciones IP o direccion IP en especifico.

A continuacion en la imagen siguiente se pretende dar una explicacion sencilla de como funciona un DNS SPOOF, para que quede un poco mas claro al lector.

en ese caso nosotros como atacantes estamos redirigiendo hacia el agente anteriormente inyectado en la herramienta evilgrade, estamos solicitando y re-enviando las peticiones desde nuestro servidor malicioso para enganar facilmente al usuario, esto tambien como comentamos anteriormente lo podriamos realizar mediante otra herramienta llamada mitfm para hacer un ataque de hombre en el medio.

con las configuraciones correctas podremos efectuar lo mismo que si lo realizaramos dentro de ettercap pero de una forma un poco mas manual si aun no se maneja bien la consola o shell, por lo que esto esta a considerar.

si se ve dentro de ettercap o mitmf las direcciones reales de la actualizacion real con nuestra direccion maliciosa, entonces tendremos casi el 90% del ataque con exito, ahora solo nos queda esperar a que nuestro listerner preparado tanto en evilgrade como en metasploit tengan efecto y nuestra gvictima se conecte, dandonos asi control toral de su maquina o dispositivo infectado.