03- Conociendo Meterpreter – Parte III – Borrando Logs, Deshabilitando Firewall y Antivirus

Para ver la serie completa pulsa aqui. Habrá conceptos que se den por obvios ya que están explicados en artículos anteriores.

Buenas a todos! En este tercer post de la serie “Conociendo Meterpreter” vamos a ver cómo podríamos borrar los logs que hayamos podido dejar con la intrusión, como se podría deshabilitar el firewall y como matar el antivirus.

Para la realización de este post vamos a tener el mismo escenario de siempre, una maquina virtual con un Windows XP vulnerable al exploit ms08_067_netapi como víctima cuya configuración de red es la siguiente…

Lo primero que haremos como siempre será lanzar el metasploit y ejecutar el exploit contra la victima para que nos devuelva una shell de meterpreter…

Una vez hemos ejecutado el exploit y hemos cacharreado un poco por la maquina vulnerada (No lo pongo para evitar que se extienda demasiado, seria ejecutar algunos comandos sin mas) vamos a ver que logs tiene registrados la maquina vulnerada…

Como podemos observar en la maquina vulnerada hemos dejado gran cantidad de logs que dejarían claro en un análisis forense que hemos sido nosotros. Una de las formas que tenemos de borrar los logs (No borra todos los posibles logs del sistema que se haya producido pero si muchos) seria utilizando el comando “clearev” como podemos ver a continuación…

Como podemos observar a borrado los diferentes eventos que habíamos provocado en el sistema de logs, por lo que volvemos a la maquina virtual y vemos que se han borrado todos

Esto sin duda es realmente practico, aunque como he dicho cuando realizamos un test de intrusión tenemos que tener muy claro e ir apuntado todo lo que hacemos con el fin de luego poder borrar cualquier log que hayamos podido dejar, no únicamente los logs de eventos del sistema.

Bueno una vez hemos visto como borrar los logs vamos a ver como podríamos desactivar el firewall de la maquina vulnerada. Como vemos en la siguiente imagen el firewall esta activado…

Así que… Vamos a desactivarlo! Para ello realizamos el comando “execute -f cmd.exe -c -H” que nos va a permitir abrir un canal interactivo (-c) de forma oculta (-H) donde tendremos acceso a una consola de Windows (-f cmd.exe), para abrir la shell debemos ejecutar “interactive NUM_CHANNEL” como se muestra a continuación…

Para comprobar el estado actual del firewall realizamos el siguiente comando “netsh firewall show opmode” como vemos al final de la imagen…

En la imagen anterior podemos ver seleccionado que el firwall se encuentra habilitado, por lo que… Vamos a deshabilitarlo ;)! Para ello necesitamos introducir el siguiente comando “netsh firewall set opmode mode= DISABLE” como vemos a continuación…

Ahora volvemos a comprobar el estado del firewall y vemos que se encuentra deshabilitado…

La única pega es que cuando realizamos esta acción a la víctima le aparece abajo a la izquierda un pop-up que le avisa de que el equipo puede estar en peligro como vemos en la imagen…

Aun así este método es realmente efectivo ya que como podemos observar en la imagen anterior el firewall a sido desactivado sin problemas, lo cual nos permitiría poder realizar una gran cantidad de acciones como veremos a continuación. Una vez hemos visto esto vamos a pasar a la ultima parte que sería como podríamos deshabilitar o matar el antivirus. Para realizar esta acción tenemos el comando “killav” de meterpreter que se encarga de hacerlo él solito como vemos a continuación…

En este caso no a matado ningún antivirus porque no hay ninguno instalado, pero si lo hubiera lo haría, siempre y cuando los tenga dentro del script. Con esto me refiero a que el script “killav” realmente lo que hace es buscar una serie de .exe que tiene guardados y en caso de encontrarlos los mata. Este script lo podemos encontrar en el siguiente directorio…

Si lo abrimos y vemos que antivirus busca nos damos cuenta de que muchísimos, pero aun así, si no encuentra uno concreto lo único que tenemos que hacer es listar los procesos de la maquina vulnerada, sacar el nombre del .exe del antivirus e introducirlo en el script, añadiéndolo como uno más a la lista…

Y hasta aquí el post de hoy en el que hemos visto algunas de las acciones más importantes que podemos realizar en la fase de post-explotación con meterpreter pero… Aun quedan 5 posts en los que hablaremos de muchas más cosas que se pueden hacer con este magnifico payload de Metasploit.

Espero que os haya gustado!

Un saludo,

Eduardo – eduardo@highsec.es – @_Hykeos