Incluso 5 años después del lanzamiento de Evilgrade algunos empresas aun no parcharon sus productos. No sabemos porque...
Una de las primeras decisiones del desarrollo (aparte de su diseño basado en modulos) fue codear Evilgrade en Perl para que sea fácil portar a otras plataformas.
Finalmente, despues de un poco de esfuerzo evilgrade esta disponible para Windows. De esta manera es posible comenzar un ataque desde un host Windows
Seguramente ya escucharon hablar de pivoting attacks. Bueno, para mostrar esta posibilidad grabamos un video donde demostramos este ataque permitiendo a través de un equipo previamente atacado con evilgrade usarlo como zombi y atacar los sistemas de actualizacion de los equipos en la interna.
El escenario consiste en una LAN con 3 hosts corriendo en distintas virtuales usando la red en modo bridged:
- Attacker (10.0.1.109)
- Pivotero (10.0.1.120)
- Victima (10.0.1.121)
Herramientas utilizadas:
- Metasploit (msfpayload, meterpreter, etc) - http://www.metasploit.com/
- TarTool - https://tartool.codeplex.com/
- Strawberry Perl (portable zip version) - http://strawberryperl.com/
- Evilgrade (por supuesto)
- Evitamos realizar ataques de spoofing en DNS/ARP a cada host para que el video sea mas corto. Los hosts están configurados para que apunten a la direccion ip del evilgrade que va a atacar.
- Cuando corremos Evilgrade desde la shell de meterpreter no va a ser interactivo, para eso modificamos el codigo para que al momento de iniciar ejecute el comando "start" en vez de esperar interacción con el usuario.
- Mover symbolic links desde Linux a Windows usando tar no funciona :) es por eso que tuvimos que eliminar el symbolic link 'javaws.exe' y copiar el archivo de destino para que Evilgrade funcione.
https://github.com/infobyte/evilgrade
ليست هناك تعليقات:
إرسال تعليق