Hoy he retomado mi aprendizaje, he vuelto a hacer unas cuantas pruebas con dos PC, en Lan, mi laptop y un netbook que tengo.

Software usado:

Metasploit Framework
NMAP
Hping
Ettercap
SET (Social Engineering Toolkit)

Mapa del laboratorio:

2 equipos conectados a través de WLAN

No hay un router que haga de firewall ni nada por el estilo, una conexión casera sin nada fuera de lo cotidiano.

El SO del atacante es Backtrack 4 R2 y el PC víctima tiene un Windows SP3

Tipo de ataque:

Se ha creado un servidor web con un APPLET infectado por un payload meterpreter, dejando el equipo atacante a la escucha de una conexión entrante.

La idea es "obligar" al equipo víctima a visitar dicha página, spoofeada de alguna conocida, para que quede infectado y lograr el control remoto del equipo víctima.

Problemas que se plantean:

Este ataque funciona perfectamente bajo el uso de Ettercap y si el equipo víctima no tiene el antivirus activado.
Cuando activo el antivirus en el equipo víctima, el ARP Spoof y el DNS spoof dejan de funcionar como deberían y en consecuencia el ataque no concluye con éxito.


Alguien tiene algún consejo para bypassear el Antivirus?

En primer lugar, muchas gracias por tu tiempo y tu respuesta.

En segundo comentarte que el problema no está en la detección del payload, eso no tengo problema, la trava me la encuentro cuando no puedo hacer un DNS Spoof para llevar al otro PC a mi página, la que contiene el payload.

De alguna manera el equipo víctima consigue frustrar mi ARP Poison y el DNS Spoof de forma que el ataque queda un tanto inutil.

Saludos

Negativo! No funciona
Alguna idea?

Saludos