Can We Say Farewell to Hiding Malicious EXEs in Stealth ADS

One of my current students asked if using Stealth Alternate Data Streams (ADS), could bypass AVs? Therefore, I wanted to prove that for the student by doing a simple experiment. What was done is the following:
1. Turned off Windows Defender on my Windows System (used for testing)
2. Created a malicious reverse shell (reverse meterpreter) and copied it over to my Windows system. It was named rev.exe.

Contents of the directory I copied the rev.exe to:

3. Created a reverse shell listener (multi-handler) on my attacking system (Kali) and was waiting for the victim machine to connect back to it.

4. Used the commands we know to hide the reverse shell named “rev.exe” in LPT1.txt and then checked the contents of the temp directory (location of files) using FTK Imager
Continue reading

Offensive Software Exploitation Course

During this semester, which technically ends on Sunday 11:59 pm (5/5/2019), I taught this course at the college for a nice group of students. The course has nothing secret and no zero days were found LOL. But, still I think it was fun, but a fire hose of information to go over in a 5-weeks class! I might release the labs and I might not do that, not until the end of 2019. But anyway, just wanted to have it referred to here. Continue reading

الجزء السابع من محاضرات HTID

نسيت أقم بوضع هذا الإعلان بصراحة … ربما لإنشغالي بالإمتحانات النهائية لهذا الفصل الدراسي … على كل حال، هذا الجزء كان عن ميتاسبلويت Metasploit Framework … حاولت قدر الإمكان أن أوضح جميع التفاصيل الخاصة في الأداة … ما لم يسعفني هو الوقت دائماً … ولهذا كانت فقط 40 صفحة تقريباً … لكن ما قمت به هو عمل Demo لكثير من الأمور، من ظمنها تجاوز AV محدث بآخر تحديث وكذلك عن Post Exploitation وأيضاً عن عملية البحث داخل الشبكة عن أجهزة آخرى وإستغلالها … وهذا كله بدون شك لم أنسى عملية الـ Forensics من خلال الأداة …

على كل حال المادة تجدوها هنا … أتمنى تعجبكم وتكون مفيدة لكم …

بالتوفيق …

SMB Scanning بواسطة Metasploit

حين تم تطوير Metasploit كان الهدف هو خلق بيئة متكاملة للمهاجم لتنفيذ هجومه على الهدف … من بين تلك الأهداف هي عمل Modules متخصصة في جزئيات معينة تسهل عليك الوصول الى الضحية … وكذلك حسب كتاب Metasploit الأخير، يقولون ليس مُعيب ان تسلك أسهل وأسخف الطرق للوصول الى الضحية … والكلام سليم 100% … لماذا تستهلك وقتك وجهد كبير في البحث عن طرق صعبة بعض الشيء … أستعمل الطرق الأسهل للوصول الى الهدف … والهدف هو إختراق الضحية أليس كذلك؟ إذن دائماً برأيي تبدأ بالأسهل وتتدرج …

في مثالنا هنا والذي سنتحدث عن SMB Scanning، لماذا نقوم بعمل فحص لجميع الشبكة والأجهزة والخدمات لنعرف الاجهزة التي يعمل عليها بروتوكول Server Message Block ؟ خاصة إذا كانت هناك أداة تمكننا من عمل ذلك بشكل مباشر؟ الجواب ببساطة هو ضياع للوقت ليس إلا حسب رأيي … ولعمل فحص SMB كل الذي علينا فعله هو التالي:

msf > use scanner/smb/smb_version

الآن لنرى الخيارات المتوفرة:

msf  auxiliary(smb_version) > show options

Continue reading

Using Metasploit to Detect Idle Hosts

تعتبر طريقة الفحص التي تسمى IDLE Scan ربما الى اليوم أحد أقوى طرق الفحص وذلك لأنه يمكن عملها ومن دون أن يرسل المهاجم ولا حُزمة واحدة الى الهدف وبالتالي ممكن تتجاوز فيها الكثير من الأمور، وأيضاً الفحص بشكل سري وغير مكشوف الى حد ما … لكن من بين الأمور التي تجعل هذا الفحص صعب التنفيذ هو إيجاد ضحية خاملة (Idle Host) نستخدمها في عملية فحص الهدف … وهنا يأتي دور Metasploit التي وفرت لنا أداة نستطيع من خلالها فحص الشبكة لكشف الأجهزة التي ممكن تفيدنا في تنفيذ Idle Scan … الأداة هذه هي ipidseq والموجودة في ظمن موديولات الـ auxiliary …

لنلقي نظرة كيف يمكن العمل بها:

msf > use auxiliary/scanner/ip/ipidseq

بعد ذلك لنرى خيارات الموديول ipidseq والتي هي:

msf auxiliary(ipidseq) > show options
Module options:
  Name       Current Setting  Required  Description
   ----       ---------------  --------  -----------
   INTERFACE                   no        The name of the interface
   RHOSTS                      yes       The target address range or CIDR identifier
   RPORT      80               yes       The target port
   SNAPLEN    65535            yes       The number of bytes to capture
   THREADS    1                yes       The number of concurrent threads
   TIMEOUT    500              yes       The reply read timeout in milliseconds

Continue reading