играть в прятки. Jugando a esconder Cobalt Strikes
Tiempo de lectura estimado: 4 minutos
Esta conferencia magistral pertenece al Módulo 10 “Análisis forense. Malware y técnicas de ocultación” de C1b3rWall Academy 2021/2022. El objetivo de la misma es mostrar cómo esconder un Cobalt Strike en un archivo.
Esteganografía
Se trata del estudio y aplicación de técnicas que permiten ocultar mensajes u objetos, dentro de otros, llamados portadores, de modo que no se perciba su existencia. Es usada a gran escala para ocultar datos relativos a los malwares, Command and Control o para la exfiltración de información.
En muchas ocasiones se utilizan imágenes para la ocultación, aunque también redes sociales y enmascaramiento en protocolos de red. También hacen uso de técnicas como LSB o EoF para ocultar URLs que obtienen el código malicioso, código ejecutable o DDLLs.
Acciones fundamentales realizadas por el malware
Las más comunes son ocultar datos de configuración o código ejecutable (Zeus, Lurk, Dowloader, Stegoloader, CryptoMining), ocultar la comunicación con el C&C (Duqu, Morto, Darkcomet, Instegogram) u ocultar datos robados (Vbklip).
A la hora de enfrentarse a un malware con capacidades esteganográficas es necesario recordar que el interés concreto de un sistema esteganográfico dependerá de tres factores: capacidad, seguridad/invisibilidad y robustez.
La búsqueda de un procedimiento de ocultación en un medio puede ayudarse teniendo en cuenta tres grandes líneas:
- La cubierta existe y la ocultación produce alteraciones.
- Generación automática de la cubierta ocultando información.
- La cubierta existe y la ocultación de información no la modifica.
Evasión de antivirus con esteganografía
La evasión de las medidas de protección de los antivirus es una técnica muy antigua. Desde técnicas basadas en EoF, ofuscaciones con base64 en ocasiones es suficiente paraocultar malware y pasar inadvertidos en los antivirus. Otras técnicas más sofisticadas como los polyglots. Antivirus necesitan optimizar al máximo las comprobaciones para reducir el tiempo de análisis.
En la masterclass en vídeo se muestra un ejemplo de archivos escondidos en una imagen.
¿Todavía no formas parte de C1b3rWall Academy? El contenido es gratuito, únete a otras 30.000 personas desde este enlace.
Si te interesa este tema, puedes consultar la información y cursar el Máster en Ciberseguridad o ver la oferta de másteres desde aquí.
Ponente: Carlos Morales Diego
Trabaja en Delivery Consultant y como DFIR en Deloitte desde 2017 dentro del CIRA y el ECC-EMEA. Es docente en varios másters de ciberseguridad en España y es miembro del Equipo Core de la Red Española de Alastria.
¿Cuál es tu reacción?