Evadiendo AV con Shellter. También tengo Sysmon y Wazuh III. GAME OVER

Después de los dos primeros post de la historia [1] [2] donde os contábamos las intenciones de Pepito y la seguridad que tiene Pepote, en este post os vamos a contar el desenlace. Poneros en situación de los dos personajes de la historia.

Pepito:

“Aquí sigo, esperando a que mi jefe ejecute el “programa” que me ha pedido y que le he preparado con especial cariño.

Después de una larga espera, al menos para mí, mi jefe ejecuta la aplicación y consigo en Metasploit, una sesión hacia su ordenador.

¡Bien! Ya estoy dentro.

Voy a ver que tiene por aquí…”


Por otro lado, veamos que hace el jefe.

Pepote:

“La verdad es que va muy bien el programa que me pasó Pepito. Ahora que lo pienso, es muy buen trabajador y nunca se lo agradezco. Voy a apagar el ordenador, que por hoy ya está bien, y le voy agradecer a Pepito todo lo que ha hecho por la empresa, y que la empresa se lo va a recompensar con una buena subida de sueldo. Pero bueno, como siempre hago antes de apagar, voy a hacer típica revisión de alertas de Wazuh.

¡¿PERO QUÉ ES ESTO?! ¿Cuatro alertas de nivel 12? A ver, a ver qué ha pasado aquí…

A partir de la ejecución del programa que me ha pasado Pepito, se ha ejecutado dicho comando de Powershell. Y posteriormente se ha abierto una conexión desde mi sistema (192.168.37.138) hacia la dirección IP 192.168.37.148, por el puerto 4444.

Miro en la CMDB (Configuration Management Database) y compruebo que dicha dirección IP, corresponde con la del equipo de Pepito, algo que ya me estaba oliendo.

Aún no quiero sacar conclusiones precipitadas, es posible que hayan subido un ejecutable malicioso a la página web de 7-Zip. Accedo a ella, me descargo la misma versión que me había pasado Pepito y calculo el MD5 de ambos ejecutables. Compruebo que, efectivamente, no es la misma.

Cada vez tengo más claro lo que está pasando aquí, pero antes de nada, voy a subir el ejecutable a Virustotal para comprobar si ya estaba subido y desde cuándo. ¡Bingo! Parece ser que alguien lo subió por primera vez justo antes de haberlo enviado Pepito a mí.

Accedo a los registros del proxy y veo que Pepito realizó dicha petición…”