Atacando un sistema actualizado con evilgrade – PoC

Todos los expertos de seguridad siempre recomiendan, cómo mínimo a nivel usuario, tener el sistema actualizado para minimizar los puntos de ataque e incluso minimizar los 0-day. Pero, ¿es posible realizar un ataque sobre un sistema que se vaya actualizando periódicamente?

La respuesta es SI!!

Hoy os quiero hablar del ataque Evilgrade que se basa en explotar las actualizaciones automáticas para inyectar un exploit y abrir un backdoor en el ordenador de la victima. Para realizar este ataque primero hemos de conseguir desviar el trafico de la victima a través del pc atacante ya sea con una arp spoofing….

Yo he usado ettercap cómo podeis ver aquí

04

A continuación crearemos el exploit usando una suit conocida (meterpreter -> reverse_tcp), nosotros inyectaremos el exploit en una actualización del conocido programa notepad ++.

Ahora iniciamos Evilgrade y seteamos la ruta del ejecutable que acabamos de crear.

0102

Después de iniciar (start) Evilgrade nos vamos al pc de la victima y le damos a actualizar el programa notepad ++.

05

06

Desde el pc del atacante, podemos ver cómo hemos interceptado y le hemos metido el exploit.

08

Ahora solo queda ir al msfconsole que previamente lo hemos debido de configurar y obtenemos la conexión con una backdoor al pc de la victima.

09

Ahora tenemos el control total sin que la victima (salvo que hagamos algo muy escandaloso) se entere.

Debemos ir con ojo con las actualizaciones automáticas ya que pueden traernos algún dolor de cabeza que otro.