./Set Turbulence version. Indetectable AV & win7.

Como todos sabéis, estamos en navidad, hace cierto frio, el barsa va por delante del R.Madrid, y entre estas noticias, la más importante creo xD es la aparición de la última versión de SET denominada  4.3 Turbulence.
Os aconsejo leer toda la lista de cambios y features que trae.
En la propia web aparece un vídeo explicando este proceso, en inglés, y el proceso de tracking de e-mails, muy útil para saber que "víctimas" han picado el anzuelo.
La actualización en este caso es tan sencilla como ubicarnos en la ruta de instalación, y ejecutar el script ./set-update. No es tannnn lento como el update de Metasploit.


Y como no, para probarlo, vamos a tirar de una infección mediante un Web Attack.
Es tan sencillo como seleccionar 1 Social -Engineering Attacks. A continuacion 2 Website Attack Method. Después seleccionamos 1.- Java Applet Attack Method. Elegimos entre recrear un sitio web mediante nuestras plantillas, realizando una copia al original o una importación personalizada de un fichero web. elegimos la segunda opción, la de clonar un sitio web, para intentar pasar lo más desapercibidos posible. A continuación nos pregunta si estamos detrás de un sistema NAT, es decir, si queremos usar el ataque en un mismo segmento de red, o estamos en una configuración típica detrás de un router y queremos publicar el ataque hacia "fuera".
Indicamos la ip del "servidor" SET y a continuación la URL que queremos clonar.


Hasta aquí nada nuevo, la gracia de la actualización es que ahora contamos con varios Payloads más. En concreto el que vamos a usar es MultiPyInjector, que lo que hace es ejecutar varios ( los que queramos) payloads de metasploit a la vez,pero con el mismo Applet "vulnerable". No confundir con el MULTIPLE ATTACK VECTOR que lo que hace es tirar unos 40 ataques contra elementos vulnerables web ( lo que comenté en NAVAJA NEGRA).


Elegimos la opción 16. MultiPyInjector Shellcode Injection.
Elegimos el payload Meterpreter, la opción 1, y elegimos el puerto sobre el que quiere montarse. Podemos añadir tantos payloads como queramos.


Ahora tenemos nuestro sistema escuchando por estos puertos, a la espera de algún incauto que acepte un Applet de Java sin firmar xD.
Como se ve esto desde fuera, pues sencillo:


Menos más que al hacer la prueba no he visto ningún otro puerto open xD.
A continuación, vamos a probarlo en un Windows 7 Full Patched con un antivirus comercial, también actualizado.


Podéis ver la web usada para clonar, con su autorización de instalación del Applet. Que hambre de comida y hacking me da esta foto xD.
Y la magia de Meterpreter. Os pongo la foto del AV de la máquina HOST sobre la que he probado.


De momento, a fecha de hoy, y tras más de una semana de actualización, el Antivirus no lo ha detectado. Imagino que en futuras actualizaciones lo hará.

Como siempre, gracias por leerme, espero que os guste !!!!