Para visualizar el sitio de manera óptima actualice el navegador. ×

Dynamic Callbacks for Persistence

La misma está enfocada en retrollamadas dinámicas para restablecer la comunicación con infraestructuras C2 y para alcanzar la persistencia, como la carga útil puede curarse a sí misma luego de haber sido bloqueada, incluyendo cómo puede ser restablecida la comunicación via datos paramétricos dinámicos. Los métodos descritos son indiferentes a códigos.

1. Introducción
  • A. los titiriteros que gobiernan el malware. Fuente: https://searchsecurity.techtarget.com/feature/Command-and-control-servers-The-puppet-masters-that-govern-malware
  • B. Servidores C&C son usados para orquestar malwares y códigos malignos.
  • C. Tesis: la infraestructura puede ser organizada y cambiada usando solicitudes dinámicas para reducir la detección y el bloqueo. Los métodos de persistencia pueden tomar ventaja de los solicitudes dinámicas.
  • D. Red Team (y actores malignos) pueden tomar ventaja de estas técnicas.
  • E. La charla está enfocada en retrollamadas dinámicas para restablecer la comunicación con infraestructura C2 y para alcanzar persistencia usando diferentes métodos, websites populares, frentes de dominio y múltiples protocolos.
  • F. Las técnicas y métodos descriptos son indiferentes a códigos y pueden ser utilizados como base. Pueden ser combinados entre ellos o con otros métodos.
2. Historia
  • A. El 14 de mayo del 2014, FireEye publicó que un grupo establecido en China (APT17) había estado utilizando websites legítimas (Microsoft Technet) como relevo para las retrollamadas C2 (BlackCoffee Malware). FUENTE: https://www.fireeye.com/blog/threat-research/2015/05/hiding_in_plain_sigh.html
  • B. Antes del grupo APT17 (BlackCoffee Malware), actores maliciosos habían estado utilizando técnicas similares para orquestar las retrollamadas a la infraestructura C2.
  • C. El 4 de diciembre de 2015, SilentBreakSecurity (Nick Landers) publicó detalles de cómo las reglas de Outlook pueden ser usadas para desatar códigos maliciosos (Malicious Outlook Rules) FUENTE: https://silentbreaksecurity.com/malicious-outlook-rules/
  • D. El 18 de diciembre de 2016, ICAAN publicó cómo el DNS puede ser usado como un canal encubierto. FUENTE: https://www.icann.org/news/blog/what-is-a-dns-covert-channel
  • E. La mayoría de los malwares usa retrollamadas hardcoded establecidas en el indicador de nivel.
  • F. Métodos de persistencia podrían fallar si la retrollamada fue establecida como parte de un código.
3. Fundamento: Las retrollamadas pueden ser modificadas dinámicamente usando diferentes métodos, websites populares y sus funcionalidades.
  • A. Las direcciones de las infraestructuras C2 pueden cambiar, por lo tanto los indicadores de nivel y las cargas útiles necesitan saber dónde encontrarlo.
  • B. Será más difícil detectar la retrollamada si la dirección C2 es obtenida dinámicamente.
  • C. Será más difícil detectar la retrollamada si la comunicación C2 está mezclada con tráfico legítimo a websites populares, es decir, escondiéndola de la simple vista.
4. Fundamento: Los métodos de persistencia pueden tomar ventaja de solicitudes dinámicas para modificar su comportamiento y para parcharse a sí mismas cuando sea solicitado o requerido.
  • A. las solicitudes dinámicas pueden ser utilizadas para modificar los métodos de persistencia y sus configuraciones.
  • B. Indicadores de nivel y cargas útiles pueden parcharse a sí mismos para restablecer la comunicación y para cambiar su comportamiento.
5. Fundamento: La combinación de retrollamadas dinámicas y persistencia puede ser única para cada host comprometido.
  • A. una combinación única puede ser utilizada en cada host comprometido, por lo que si un host es detectado, los indicadores de compromiso no van a ayudar a detectar otros hosts comprometidos.
  • B. Si estas técnicas son sólo utilizadas para restablecer comunicación con infraestructuras C2 y por persistencia, y no son usadas para controlar el compromiso de hosts, la detección podría ser baja.
  • C. el canal de comunicación entre hosts comprometidos e infraestructura C2 debería ser mantenido alejado de los nodos utilizados por persistencia.
6. Contra-argumento: Si los sitios populares son bloqueados o alertados en el uso, las retrollamadas dinámicas podrían ser detectadas.
  • A. Grandes organizaciones podrían encontrar como desafiante el bloquear ciertos sitios populares o ciertos protocolos.
  • B. Será difícil diferenciar el tráfico legítimo del tráfico utilizado para obtener retrollamadas dinámicas.
7. Contra-argumento: Si el método de persistencia es reutilizado, el comportamiento puede ser usado para detectar el código malicioso.
  • A. El método de persistencia y la configuración pueden ser únicas para cada host comprometido.
  • B. Si la validación de la retrollamada dinámica es conservada en baja frecuencia (intento), entonces podría ser difícil de detectar.
8. Conclusión
  • A. las retrollamadas dinámicas facilitan una comunicación C2 cambiante y el establecimiento de persistencia robusta.
  • B. Indicadores de nivel y cargas útiles pueden parcharse a sí mismas y cambiar el comportamiento cuando sea requerido usando solicitudes dinámicas.
  • C. La detección y el bloqueo podría ser difícil ya que los métodos para obtener la nueva retrollamada son dinámicos y mezclados entre el tráfico legítimo.
Sobre xtr4nge

xtr4nge es un consultor de seguridad e investigador con más de 15 años de experiencia en seguridad informática con grandes empresas. Está comprometido constantemente en la búsqueda de aspectos de seguridad de nuevas tecnologías utilizándolo como plataforma para llevar la seguridad más allá. Es apasionado por desarrollar softwares de fuente abierta sólo por diversión, aprender e investigar cosas tales como Fruity WiFi and FruityC2. Está interesado en romper cosas y entender cómo arreglarlas.