915 792 426 - 689 888 537

Blog

ACTUALIDAD
Evasión de antivirus
27 Dic 2017

Evasión de antivirus con Shellter

/
Publicado por
/
Comentarios0
/

En este post vamos a mostrar cómo hacer una evasión de antivirus con Shellter, una herramienta sencilla y muy útil para los que nos movemos en el ámbito de la ciberseguridad.

¿Qué es Shellter?

Todos los que nos dedicamos al mundo del pentesting somos conscientes de que una de las mayores dificultades en el proceso de una auditoría real, en el que nos permiten hacer ataques en el lado del cliente, es el motor antivirus. Y es que metasploit, junto a su payload meterpreter, suele hacer las delicias de nosotros, los pentesters, cuando estamos trabajando en ambientes donde la firma antivirus no es un problema serio en nuestra auditoría, sobre todo con las pruebas de concepto de ataques en el lado del cliente. Sin embargo, en esas circunstancias en las que tenemos que echar un pulso con los antivirus es donde Shellter nos puede ser de gran ayuda.

 

evasión de antivirus

Una herramienta para la evasión de antivirus

Shellter es una herramienta de inyección dinámica, pero ¿por qué es dinámica? Shellter hace uso de la misma metodología que hacen los propios motores antivirus, ejecutando el fichero que deseamos infectar en una “sandbox”, donde comprueba qué llamadas de librerías hace, qué procesos realiza el ejecutable hasta que finalmente se ha abierto. A partir de ahí, informa al usuario de las opciones disponibles para infectar dicho ejecutable, eligiendo la que más nos convenga. Además de eso, Shellter no necesita dependencias para su funcionamiento y es multiplataforma: Está disponible tanto para Linux como para Windows. El proceso de uso de Shellter es muy sencillo e intuitivo, ya que tampoco requiere de un proceso de instalación.

 

invasión de antivirus

 

Simplemente lanzamos su ejecutable y el proceso de Shellter comenzará. En este caso hacemos uso del modo automático poniendo una A.

 

evasión de antivirus

 

Después nos va a solicitar la ruta del ejecutable que deseamos infectar. Como bien se ha indicado, Shellter analiza el funcionamiento del fichero ejecutable en cuestión, por lo que puede ser una herramienta ya instalada o su propio instalador. En este caso, infectaremos el ejecutable de winrar, una aplicación muy común en entornos corporativos.

 

evasión de antivirus

evasión de antivirus con shellter

 

Nos solicitará confirmación para activar el modo “sigiloso”. En este caso le indicamos que si y elegimos el tipo de payload que deseamos utilizar, así como las opciones de conexión (LHOST y LPORT). El resto del proceso lo generará Shellter de forma automática. Ahora resta comprobar primero el funcionamiento del payload.

 

evasión de antivirus con Shellter

 

Con simplemente ejecutar winrar (de hecho, el tiempo de carga ha sido rápido, sin evidencia de que ocurra algo raro) se abre nuestra sesión de meterpreter.

 

evasión de antivirus con Shellter

 

Ahora, tras comprobar que el payload es funcional, vamos a comprobar el porcentaje de detección en los motores antivirus.

 

evasión de antivirus con Shellter

 

¡Un 0% y estoy usando una versión antigua de Shellter! ¿Cómo será entonces la versión PRO actual? ¿La has probado ya? Cuéntanos qué tal te ha ido con ella para la evasión de antivirus.