Metasploit & Flu-AD: Avoiding AVs with Payloads/DLLs Injection [Rooted CON 2013]

En 2011, el equipo de Flu Project desarrolló Flu-AD, un software de tipo caballo de troya que comenzó a ser utilizado por cuerpos policiales de diversos países de América Latina para monitorizar los movimientos de cibergroomers investigados por casos de acoso a menores de edad por Internet.

La presente ponencia tiene por objetivo presentar la nueva versión de Flu-AD. Dicha herramienta ha sido desarrollada según las necesidades planteadas por un cuerpo policial, entre otras, el funcionamiento de Flu-AD en cualquier versión y arquitectura de Windows, la realización del proceso de infección a través de un ejecutable con un peso inferior a 50kb para facilitar su proceso de camuflaje, su desarrollo en lenguaje C, captura de imágenes mediante webcam, captura de audio mediante micrófono, intercambio de archivos entre máquina y servidor, captura de pulsaciones de teclado y sniffing de tráfico de red. El equipo de Flu Project planteó una solución basada en un troyano ligero, con funcionalidades básicas semejantes a las de su predecesora, pero con inyección modular de dlls. Estas dlls permiten añadir nuevas funcionalidades dinámicamente sin aumentar el tamaño del ejecutable de Flu-AD. Las dlls contienen payloads generados a partir de metasploit y la herramienta msfencode, mediante su funcionalidad para la generación de payloads en código en C. Estas dlls son descargadas en la máquina infectada a través de Flu-AD y cargadas directamente en memoria. Cada dll es diferente en cada creación, debido a que se pueden utilizar más de 200 payloads del framework y distintos parámetros en la configuración de dichos payloads.

Junto con Flu-AD se presenta una utilidad que permite generar dlls automáticamente a través de payloads generados mediante msfencode.

Por otro lado, han sido desarrollados varios módulos nuevos para Metasploit, con el fin de automatizar y facilitar a los cuerpos policiales ciertas funcionalidades que Metasploit no cubría. La solución propuesta es indetectable a día de hoy por los software antivirus comerciales, tal y como se puede comprobar en la imagen adjunta. Integra distintos sistemas de evasión de antivirus como la carga dinámica en memoria de dlls y el uso mínimo de APIs de Windows.

Por otro lado, durante la ponencia se presentarán distintos aspectos legales que impiden utilizar en la actualidad estos sistemas de vigilancia digital en España y se compararán con otros marcos jurídicos donde el uso de herramientas maliciosas en casos policiales está a la orden del día, como es el caso de Colombia