Non malware attack. Vivir de la tierra.

Imagínate: Eres un troyano enviado a un equipo remoto en una peligrosa misión.

Tus compañeros han sido equipados con los más modernos exploits y payloads; auténticas armas de hackeo masivo.

Tú, sin embargo, llevas una navaja suiza y un rollo de papel higiénico.

En el helicóptero de transporte has tenido tiempo de ojear el manual "Domina Windows Vista al 99%" que servía de soporte a unas cajas.

Mientras te lanzas, desde el aire, hacia la costa que rodea el equipo remoto, resuenan en tu angustiado cerebro las bíblicas palabras de tu oficial: "Deberás vivir de la tierra".

En ese momento cambiarías medio rollo de papel higiénico por un buen cifrado de código, que te permitiera despistar a los brutales antivirus y detectores de intrusos; que patrullan incansables el equipo.


En esta suerte de bushcraft informático te preguntas qué será lo más recomendable. ¿Construir un refugio con materiales locales para pasar desapercibido? ¿Encender un fuego para secarte del chapuzón? ¿O quizás desplazarte de un proceso a otro por la memoria?

Recuerdas lo leído en el manual de Windows viejuno y buscas, casi instintivamente, un taller olvidado por la mayoría de los usuarios; una reliquia de tiempos remotos: netsh. 


- Huuummm, que buena pinta! Aquí hay un montón de comandos para establecer un tunel de red con el alto mando, reprogramar el firewall, e incluso construir un buen refugio...


- A ver si puedo telnetear al router... No, quizás tenga que trastear con el Firewall para abrir el puerto 23...¿Por navegador?...



- ¡Ostras ahora sí! ¡Ciérrate que me van a pillar!
¡Buuaa, qué subidón! Puedo jugar con el firewall, volver cuando el usuario esté inactivo y montarme un refugio en el router con vistas a los puertos 80 y 21.


El oficial Meterpreter me dijo que no me precipitara, que siempre era necesario recabar inteligencia antes de actuar...

[*] Running WMIC Commands ....
 [*]     running command wmic computersystem list brief
 [*]     running command wmic useraccount list
 [*]     running command wmic group list
 [*]     running command wmic service list brief
 [*]     running command wmic volume list brief
 [*]     running command wmic logicaldisk get description,filesystem,name,size
 [*]     running command wmic netlogin get name,lastlogon,badpasswordcount
 [*]     running command wmic netclient list brie...



...Bueno ya voy viendo la luz gracias a la WMI (Windows Management Instrumentation); el manual de Vista me ha dado muchas ideas para "vivir de la tierra".

- Voy a visitar tambien el PowerShell.


- ¡Qué pasada! Tengo un montón de procesos donde puedo inyectarme. Esto es como un CMD pero con esteroides.

El malware sin fichero, Amenaza Volatil Avanzada o ataques no basados en malware son definiciones para un inquietante fenómeno; un ataque que utiliza herramientas del sistema y protocolos autorizados para controlar un equipo sin descargar un solo fichero malicioso

En definitiva LOL ( Living Off the Land).
 



 

Comentarios

Entradas populares