Post on 04-Jun-2020
¿Quién Necesita el Malware?Entendiendo los Ataques de Fileless y ¿Cómo Pararlos?
1 ¿Qué son los ataques fileless?
2 ¿Cómo funciona un ataque fileless?
3 Ejemplos del mundo real
4 ¿Por qué los enfoques tradicionales no funcionan?
Pregunta a la audiencia
Como califica usted sus ataques de conocidos de Fileless del 1 a 5 (1= Sin conocimiento. 5= Experto)
¿QUÉ ES UN ATAQUE FILELESS?
Un ataque que no requiere que un archivo ejecutable malicioso que se escriba en el disco
LA REALIDAD DE LOS ATAQUES DEL TIPO FILELESS
Las técnicas de los ataques tipos Fileless no son nuevas.
Más prevalente que el ransomware 24% contra 21%.
El 78% de las organizaciones están preocupadas por los ataques Fileless.
Solo 51% de las brechas incluyen malware.
No todos los ataques son 100% Fileless.
El 80% de los ataques utilizan algunas técnicas Fileless.
TÉCNICAS DE ATAQUE FILELESS
GOAL
HERRAMIENTAS
TÉCNICA
¿CÓMO UN ATAQUE FILELESS TIENE LUGAR?
COMANDO Y CONTROL
2
Ejecuta los comandos del sistema para averiguar dónde
estamos.
RECONOCIMIENTO
Sysinfo, Whoami
ESCALA DE PRIVILEGIOS
3
Ejecución de un PowerShell script como Mimikatz para
hacer volcados de contraseñas
PowerShell
CREDENCIALES DE DUMP
PERSISTENCIA
4
Modifica el Registro para crear una puerta trasera.
P.ej. Teclado en pantalla o teclas adhesivas
Registry
MANTENER LA PERSISTENCIA
EXFILTRACIÓN
5
Utiliza herramientas del sistema para recopilar datos y China Chopper Webshell para filtrar
datos.
VSSAdmin, Copy, NET use, Webshell
DATOS DE EXFILTRADO
CO M P RO M I SO IN I C IA L
Acceso remoto a un sistema utilizando un
navegador web. Puede ser lenguaje de scripts
web. P.ej. Chopper China
ACCEDER
WebShell
1
PUNTOS CLAVE
LA AMENAZA ES REAL AV TRADICIONAL NO SON SUFICIENTELAS DEFENSAS ACTUALES NO
FUNCIONAN
HAY QUE PENSAR MÁS ALLÁ DEL MALWARE Y CENTRARSE EN DETENER LA INFRACCIÓN.
Ing. Mario Arriaza
Webshells
1. ¿WEBSHELLS?
Herramientas de post-explotación. Los atacantes las utilizan a menudo para controlar un sistema comprometido.
• Una webshell es un script subido a un servidor web: PHP, ASP, Perl, Python, Ruby, Cold Fusion, C.
• Los atacantes aprovechan vulnerabilidades como:
• Cross-Site Scripting (XSS)
• Inyección SQL (iSQL)
• Servicios vulnerables (WordPress y otros CMS)
• Vulnerabilidades Remote File Include (RFI) and Local File Include (LFI)
• Portales de administración inseguros
¿QUÉ SON?
ATAQUES CLÁSICOS DE WEBSHELL
El atacante utiliza el
"web shell" para buscar archivos, cargar
herramientas y ejecutar comandos
El atacante escala los privilegios y gira
a objetivos adicionales según lo
permitido
abc.com
Network DMZ DCs
Employees
File Servers
Internal Network
DB Servers
HTTP
cmd.asp
InternetAttacker
El atacante carga una página web
dinámica maliciosa en un servidor web
vulnerable
ATAQUES CLÁSICOS DE WEBSHELL
El atacante utiliza el
"web shell" para buscar archivos, cargar
herramientas y ejecutar comandos
El atacante escala los privilegios y gira
a objetivos adicionales según lo
permitido
abc.com
Network DMZ DCs
Employees
File Servers
Internal Network
DB Servers
HTTP
cmd.asp
InternetAttacker
El atacante carga una página web
dinámica maliciosa en un servidor web
vulnerable
MITIGACIÓN: RED
Contener al Atacante
Aislamiento DMZ:¡Sigue siendo un problema
común!−Tráfico de DMZ a la Red
Interna−Tráfico de la Red Interna a
DMZ−La limitación de los
dominios unidos, confianzas entre bosques
−Cajas de "salto" para acceso de administrador
VPN Server
Corporate Network
Corporate DMZ
Attacker Client
Web Shell Access
MITIGACIÓN: HOST
Application Whitelisting, HIDS− May detect what an attacker does with a web shell
− May not detect latent web shells
− Monitoring all file system changes within all web roots on all servers may generate a lot of noise
“Least-privilege” for web server & application user context
Host-based controls are likely to fail if the attacker already has admin privileges
MITIGACIÓN EN EL PERIMETRO -- VIRTUAL PATCHING L7
Web Application Firewall Avanzado -- INDISPENSABLE
• C99• B374K• WSO• China Chopper• Gamma Group
• php-reverse-shellhttp://pentestmonkey.net/tools/web-shells/php-reverse-shell
• Kali webshells/usr/share/webshells/
LOS VIPS
MED
IA
Autenticación SI/NO
Ofuscación SI/NO
Manipulación Ficheros
ALT
A
Autenticación
Ofuscación
Ocultación
Manipulación Ficheros
Capacidades Ofensivas
Eliminación
Complejidad / Características
BA
JA
Una sola línea(s)
CLASIFICACIÓN
2. HOY EN EL MENU TENEMOS…
529 rootshell cybershell predator soldierofallah simple_cmd dmc
winX zaco NTDaddy myshell phantasma ngh kral
ironshell lamashell AK-74 bm shellroot shutdown57 B0s0k
jkt48 angelshell DKShell cpanel 1n73action SaudiShell fatal
lolipop matamu PHPSpy ru24 simattacker safe0ver sincap
ASpy reader remexp zehir aspcmdshell pouyashell kacak
list up browser jspbd jspshell up_win32 cmd
dc pws fx GS cgitelnet mst stres
MUCHAS OTRAS
WEBSHELL: SIMPLES
North Korean Cyber Warfare Group
http://gsec.hitb.org/materials/sg2016/D1%20-%20Moonbeom%20Park%20and%20Y oungjun%20Park%20-%20Understanding%20Your%20Oppon ent%20Attack%20Profiling.pdf
WEBSHELL: DMC
• Multiplataforma• Listar ficheros• Información Sistema• Leer ficheros sensibles• Codificar / Decodificar
hashes• Mail bomber• Ejecutar comandos• Escaneador de puertos
WEBSHELL: LIFKA
WEBSHELL: SOLDIER OF ALLAH
WEBSHELL: SYRIAN SHELL
WEBSHELL: BLOODSEC 2
WEBSHELL: BLOODSEC 1
WEBSHELL: BLOODSEC 3
eval() assert() base64() gzdeflate() str_rot13()
OFUSCACIÓN
3. DETECCIÓN
• Según el US CERT:
• Sistemas actualizados / parches
• Política de Privilegios Mínimos
• Hardening servidores
• Backup
• Validar datos en aplicaciones
• Auditorías de seguridad periódicas
• Implantar WAF, AV, auditorías código, etc.
• Adicionalmente• Análisis de Logs
• Integridad de ficheros
• Desarrollo seguro
• Malware Hunting
SIN FORMULAS MÁGICAS
• La mayoría de las especies de nuestro zoo no son detectadas por los AV
DESDE ANTIVIRUS CON AMOR
• Shell-Detector (Python)
https://github.com/emposha/Shell-Detector
• PHP-Shell-Detector
https://github.com/emposha/PHP-Shell-Detector
• NeoPI
https://github.com/Neohapsis/NeoPI
HERRAMIENTAS
Hacking Time !!