En este
breve artículo de Elliot Killick, se explica cómo hacer que cualquier payload de JavaScript sea
completamente indetectable a través del uso del ofuscamiento, con herramientas
como
Ofuscator, creada por Timofey Kachalov.
Esta sencilla técnica funciona muy bien, incluso demasiado bien, para evadir
la detección de cualquier herramienta de seguridad ofensiva que genere
JavaScript.
Caso de uso perfecto: HTML Smugling
La introspección de archivos con el objetivo de bloquear/detectar EXE, scripts
y otras descargas es una característica común de los firewalls de próxima
generación (NGFW) que implementan predominantemente las empresas. Para eludir
esta medida de seguridad, los atacantes suelen utilizar una técnica conocida
como Smugling HTML (¿contrabando de HTML?).
Esta técnica funciona ocultando un archivo malicioso en JavaScript, con el
objetivo de que la víctima lo descargue para luego decodificar la carga útil final. Como de
costumbre, la víctima simplemente verá que se está descargando un archivo y
no se dará cuenta de la forma furtiva en la que entregamos el payload.
Los archivos adjuntos de correo electrónico de fuentes externas a una
organización a menudo se eliminan. De ahí que un sitio web, con un enlace en
el correo electrónico, habitualmente se utilice para entregar un archivo. La
mayoría de los grandes proveedores de correo electrónico, como Gmail o
Outlook, también eliminan los archivos adjuntos con extensiones problemáticas. Naturalmente, los defensores crearon firmas para estas herramientas de
JavaScript de contrabando HTML para que pudieran ser detectadas a través de la
red (a diferencia de las cargas útiles finales).
Estás son las detecciones de uno de esos proyectos de contrabando de HTML más popular: EmbedInHTML.
En la práctica, la detección de un NGFW para este tipo de carga
útil sería mucho mayor. La configuración de los antivirus de VirusTotal no están tan orientados a
detectar este tipo de amenazas. Aún así, tenemos muchas detecciones (no
deseadas).
Entonces, los defensores hicieron su movimiento. Ahora es el turno del
atacante: ¿Cómo podría un atacante volverse completamente indetectable (al
menos… por ahora)?
Sencillo, simplemente pegue su carga útil en
obfuscator.io
y luego haga clic en el botón «OFUSCAR».
Consejo profesional: si está «contrabandeando» un archivo binario (o
cualquier tipo de archivo), definitivamente asegúrese de seleccionar la opción
de cifrado RC4. Esto es necesario para eliminar los últimos fragmentos de
información que los NGFW podrían utilizar para encontrar el
payload.
Se podría pensar que ofuscar JavaScript de esta manera sería una gran señal de alerta para los NGFW y otros programas de detección. Esto sería cierto en casi cualquier otro caso, como con la ofuscación de PowerShell o los empaquetadores de archivos binarios (por ejemplo, los antivirus tienden a odiar el empaquetador UPX).
Sin embargo, en el mundo de JavaScript es muy normal ver scripts muy minificados y, a veces, ofuscados para mantener el tamaño de los archivos lo más bajo posible para la web y posiblemente para proteger el código propietario. Esto hace que mezclarse con las grandes cantidades de esos scripts legítimos ya existentes sea muy problemático.
Fuente: Elliot on Security
Los comentarios están cerrados.