Armitage: ferramenta de gerenciamento de ataque cibernético

 Alex Sander March 22, 2016 4 Comentários

O Armitage é uma ferramenta de gerenciamento de ataques cibernéticos em modo gráfico, foi desenvolvida por Raphael Mudge para tornar o processo de exploração e pós-exploração mais simples.

Muitos iniciantes na área de Segurança da Informação se sentem desconfortáveis utilizando o msfconsole do Metasploit. Dessa forma, o Armitage permite realizar a exploração de forma rápida e com menor dificuldade através do ambiente gráfico.

Explorando o  Armitage

O Armitage já vem instalado por padrão no Kali Linux. Para inciar a interface gráfica, primeiramente vamos iniciar o banco de dados postgresql.

Abra seu terminal e digite o seguinte comando para iniciá-lo:

# /etc/init.d/postgresql start

Após iniciar o banco, no terminal digitaremos Armitage para iniciar a tela da mesma, posteriormente irá abrir uma tela com os dados para efetuar a conexão, clique em “connect”.

# armitage

O Armitage se conectará a um servidor RPC para controlar o Metasploit, aparecerá uma nova tela pedindo se desejamos iniciar o servidor, clicaremos em “Sim”.

Após clicarmos em Sim, aparecerá outra tela de progresso, em alguns casos pode demorar um pouco.

Quando o Armitage se conectar ao servidor RPC, aparecerá a tela principal, onde poderemos utilizar o Metasploit de um modo fácil, o qual é através da interface gráfica.

Podemos observar no canto superior esquerdo da tela do Armitage os diretórios, os quais contém quatro tipos de módulos do Metasploit;

Esta é a maneira como o Metasploit organiza os módulos, o exploit e payload são os mais importantes. Podemos verificar o restante dos conteúdos dos diretórios clicando na flechinha que está no lado esquerdo de cada um deles.

Observamos também que os conteúdos dos diretórios estão separados por sistemas operacionais, sendo eles: Windows, BSD, Unix, Linux, Solaris e etc. Os exploits e payloads são específicos para cada sistema operacional e aplicativo, serviços, entre outros.

Se expandirmos o diretório do windows, veremos as vulnerabilidades categorizadas por tipo.

Agora, quando procuramos um exploit ou payload para usarmos em um determinado sistema com vulnerabilidade “x”, podemos simplesmente procurá-los em seus devidos diretórios.

No barra de menu do Armitage, encontramos outras opções muito interessantes.

Iremos mostrar as mais importantes, as quais seriam utilizadas durante um pentest.

Hosts:

• Import Hosts: Nesta opção podemos adicionar uma lista de IP’s através de um arquivo salvo em nossa máquina.
•  Add Host: Podemos adicionar somente um IP por vez, ou mais IP’s digitando um a um, diferente do import hosts que podemos adicionar através de um arquivo.
• Nmap scan: Nesta opção teremos um submenu, o qual nos traz outras opções e cada uma delas realiza um tipo de scan, temos o Quick Scan (OS detect) que é muito interessante, esta opção, caso após adicionarmos um devido alvo e não sabermos qual sistema operacional ela está utilizando, nos trará o tipo de sistema operacional utilizado pelo alvo.
• MSF Scans: Nesta opção poderemos adicionar um range de IP’s, por exemplo: 192.168.1.0/24, desta maneira trará todos os IP’s, ou também poderíamos adicionar de um alvo A ao alvo B, exemplo: 192.168.1.100-120, assim trará somente os IP’s que estiverem entre o IP 100 e o 120.
• DNS Enumerate: É o processo de localizar todos os servidores DNS e seus registros correspondentes para uma organização. Uma empresa pode ter servidores DNS internos e externos que podem render informações como nomes de usuários, nomes de computadores e endereços IP de sistemas de destino em potencial.

Attacks:

• Find Attacks:  Após adicionarmos o alvo, iremos clicar com o botão esquerdo do mouse sobre o mesmo, depois clicaremos em Attacks -> Find Attacks, posteriormente nos apresentará uma série de ataques que podemos realizar.
• Hail Mary: Irá lançar todos os exploits possíveis em determinado alvo selecionado para ver se algum deles funciona. Caso tenhamos sucesso com um desses exploits lançados contra o alvo, podemos considerar a exploração realizada com sucesso.

Para executarmos o Hail Mary (Ave Maria), realizaremos os seguintes passos:
Attacks -> Hail Mary.

Após clicar para abri-lo, aparecerá uma tela solicitando nossa confirmação. Se realmente desejarmos iniciar o lançamento dos exploits no alvo, clicaremos em “Yes”.

Quase tudo que realizamos no Armitage, podemos realizar no console do Metasploit, exceto o Hail Mary (Ave Maria), que podemos realizar de maneira fácil no Armitage e que no msfconsole precisaríamos fazer somente com uso de script.

A parte “negativa” de usar o Hail Mary é que em um ambiente de hacking ele é extremamente “barulhento”, ou seja, será detectado facilmente por um firewall ou IDS/IPS.

Atacando Windows 7 com Armitage

Iremos realizar um ataque ao Windows 7 utilizando o payload meterpreter/reverse_tcp, como no Armitage conseguimos encontrá-los através de alguns cliques, vamos por em prática, seguindo os seguintes passos:

Primeiramente iremos adicionar o IP da vítima. Após isso, seguimos os passos abaixo;

payload >
windows >
      meterpreter >
         reverse_tcp

Iremos criar um executável o qual enviaremos para a vítima através de um e-mail, página fake ou etc, para que ela possa executar nosso payload, criando, assim, uma conexão reversa da máquina da vítima com nossa máquina, que estará em modo listener aguardando a conexão.

Criando o Payload

Daremos dois cliques em cima do reverse_tcp.Mudaremos o output para exe.Definimos a lport para a porta 4444, desta forma, quando a vítima executar nosso payload, esta fará uma conexão reversa na porta 4444.

Salvamos o payload no diretório desejado, no nosso caso, salvamos em /root/Desktop/tutorial.exe.

Após realizados os procedimentos acima, precisamos colocar nossa máquina em modo listener para aguardar a conexão do payload enviado para a vítima. Assim, quando ele for executado, fará a conexão reversa com a nossa máquina.

Realizaremos quase o mesmo processo para criar o payload. Porém, em vez de trocarmos o output, deixaremos ele com a opção multi/handler.

Criado o payload, nossa máquina já está em modo listener aguardando a conexão reversa da máquina vítima.

Após a vítima ter executado o payload em sua máquina, basta aguardar alguns segundos e quando a mesma aparecer em nossa tela com alguns raios em volta da tela e o monitor ficar em vermelho, a máquina estará invadida.

Como podemos ver, a vítima clicou em nosso payload, agora vamos nos conectar na sessão da vítima com o comando:

#sessions -i 1

O número 1 é o numero da sessão a qual você deseja se conectar, caso haja mais de uma, basta trocar o número 1 pelo número da sessão desejada, no nosso caso possuímos uma sessão.

Para verificarmos quais sessões possuímos, basta digitar o comando:

#sessions

Após selecionarmos a sessão desejada, vamos migrar nosso processo para outro processo que está sendo executado no windows, que possivelmente não será finalizado pela vítima.
Para migrar, executaremos o seguinte comando:

#meterpreter > migrate 648

648 é o PID do processo de Gerenciamento de contas do windows.

Realizamos a migração do processo de nosso payload, agora vamos verificar se as informações da vítima são as mesmas com a qual realizamos o ataque.

Com o comando sysinfo no console, podemos verificar os dados da vítima.

#meterpreter > sysinfo

Agora vamos verificar na máquina da vítima as informações. Abra o cmd e digite os seguintes comandos: hostname e ipconfig.

#C:UsersAlex&Daniela> hostname

O comando hostname nos exibe o nome da máquina.

#C:UsersAlex&Daniela> ipconfig

O comando ipconfig, nos exibe o IP, Mask, Gateway, DNS, etc.

Vejamos que no print da tela da vítima podemos ver o nome da máquina, o IP e o nosso payload.

Para verificar o IP da vítima pelo nosso console, basta realizar o mesmo comando que foi efetuado no cmd windows ipconfig.

Após verificarmos em nossa máquina e na máquina da vítima, vemos que as informações são as mesmas. Sendo assim, nossa tentativa de invasão utilizando o payload foi um sucesso.

Observação: Os testes de invasão foram realizados em ambiente controlado, caso você realize esse mesmo teste que realizamos, certifique-se que você possui autorização.

Concluímos que a ferramenta Armitage traz um grande conforto para alguns especialistas que gostam de sua interface gráfica e se sentem desconfortáveis utilizando msfconsole. Ela também realiza perfeitamente de modo rápido e fácil as explorações e pós-explorações e ainda nos permite navegar entre os diretórios através de simples cliques, buscando o exploit, payload, etc, desejados para determinado sistema operacional.