Um Mercado pouco citado: A Limpeza de N-days

v2.2

Quem faz parte de Red Team sabe da importância de não ter seus códigos detectados por ferramentas de segurança.

As ferramentas customizadas de ofuscação, criptografia de código e load em tempo de execução são uma importante parte do arsenal para a customização de payloads indetectáveis. Programo as minhas próprias ferramentas de acordo com as necessidades do projeto.

Porém, antes do deploy desses payloads indetectáveis, existe a porta de entrada inicial. Após a publicação de determinada vulnerabilidade, em questão de algumas horas a maioria das ferramentas disponíveis no mercado já detectam o padrão dos seus opcodes, adicionam assinatura para scannear os arquivos, e realizam detecção inclusive no tráfego de rede.

Falo especificamente aqui sobre vulnerabilidades em cabeçalhos e estruturas de arquivos, como por exemplo do tipo Office. Falhas podem ocorrer em outros tipos de arquivos não-executáveis como RAR, Zip e muitos outros [1] [2].

Entra em cena um mercado que poucos conhecem, o de limpadores de N-days.

Fui contratado para um pentest envolvendo uma falha numa suíte de Office, em que um header mal-formado conseguia executar código automaticamente, após abertura do documento. Tudo sem a necessidade de ativar macros. Algo parecido com essa falha.

Não torça o nariz por ser uma falha que exige 1-clique num documento, trabalho é trabalho. Afinal, nem todas as conquistas da noite são as mais belas – e dependendo do seu nível alcóolico, você pode até já ter beijado uma cilada sem saber.

O problema do contratante

  • Documento com exploit sendo utilizado, com detecção em mais de 25 ferramentas de antivírus no Virustotal.

O pedido

  • Customizar a parte do header com código ofensivo que ativa a falha, para que o documento enviado via email pudesse passar pelos scanners antivírus presentes no gateway de borda, e pela proteção endpoint instalada no computador do alvo, sem ser detectado.

Para quem tem conhecimento de nível intermediário na linguagem assembly, editores hexadecimais e formato de arquivos, este é um ótimo exercício. Pegue um arquivo ou documento com vulnerabilidade conhecida, e tente diminuir sua detecção pelos antivírus.

Uma boa fonte de malwares para estudo encontra-se em:

Não use o virustotal para scannear seus documentos após as modificações. Existem serviços especiais para profissionais de Red Team, que não compartilham os arquivos com fabricantes de antivírus. Caso use o VT, perderá suas horas de trabalho, pois os arquivos são compartilhados com todas as empresas de antivírus y otros más.

O valor de tais documentos com exploits de N-dias e baixa detecção, gera rendimentos medianos, mas satisfatórios, enquanto suas ferramentas de fuzzying não acham alguma vulnerabilidade mais interessante para você se dedicar e lucrar mais.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s