Black Hat Europe 2022: las herramientas de piratería se exhiben en la conferencia anual de seguridad
Ayudas y técnicas presentadas en la pista del arsenal de este año.
El programa de este año presentó herramientas para mantener ocupados a los investigadores de seguridad, los evaluadores de penetración y los cazarrecompensas de errores. sombrero negro europa Una conferencia esta semana en el Excel Centre de Londres.
La conferencia anual de seguridad reunió a piratas informáticos de todo el mundo para compartir investigaciones y otras ideas.
Una de las características regulares de la conferencia es la pista del arsenal, donde los asistentes pueden presenciar demostraciones en vivo de varias herramientas de piratería.
Escudo de seguridad del nodo
Una de las herramientas presentadas este año, Node Security Shield, “brinda protección de día cero para aplicaciones NodeJS”, dijo Lavakumar Kuppan de Domdog Security, que creó la herramienta. trago diario.
“Esta es una herramienta de defensa diseñada para ser utilizada tanto por desarrolladores como por ingenieros de seguridad”, dijeron.
“Los sistemas de defensa existentes como WAF [web application firewall]RASPAR [runtime application self-protection]o los sistemas de protección contra ataques de la cadena de suministro adoptan un enfoque similar. Buscan malos ejemplos conocidos. Este enfoque es bueno para prevenir ataques conocidos, pero no es efectivo contra ellos. cero dias.
“Node Security Shield adopta el enfoque opuesto. Los propietarios de aplicaciones generalmente saben y pueden definir el comportamiento esperado de su aplicación. Node Security Shield garantiza que solo se permita el buen comportamiento especificado y que cualquier desviación se bloquee o genere una advertencia”.
El nodo es compatible con la “Política de acceso a recursos” inspirada en Security Shield Política de seguridad de contenidoun objeto JavaScript simple que define el comportamiento esperado de la aplicación del propietario de una aplicación.
Lea las últimas noticias sobre herramientas de pirateo
“Esto nos permite prevenir o mitigar exploits contra ataques de día cero. Además, este enfoque es bastante rápido en comparación con otros sistemas que tienen que comparar cada solicitud entrante con una lista cada vez mayor de patrones de ataque.
con sistemas como WAF y existe el riesgo de que la funcionalidad legítima en RASP se vea afectada porque no está claro qué bloquearán y permitirán estos productos. El riesgo es mucho menor con este enfoque porque los propietarios de aplicaciones tienen una comprensión muy clara de lo que la herramienta permitirá y bloqueará”.
La herramienta está inspirada en la vulnerabilidad Log4Shell, una vulnerabilidad de día cero. Log4j, un popular marco de acceso a Java que puede provocar la ejecución de código arbitrario. Muchas aplicaciones que dependen de Log4j se volvieron vulnerables como resultado del problema.
“Estábamos muy preocupados de que una aplicación pudiera crear accidentalmente una conexión de red a un servidor que nunca había planeado.
“De modo que [we] Se propuso crear un sistema en el que los propietarios de aplicaciones pudieran determinar con quién podía hablar y usar su aplicación, bloqueando así las vulnerabilidades de día cero como Log4Shell.
La herramienta se desarrolló como un proyecto interno en Domdog Security para proteger sus aplicaciones NodeJS, pero el equipo dijo que “actualmente saben que al menos dos empresas están experimentando con ella”.
Kuppan agregó: “Queremos agregar la capacidad de controlar el acceso al sistema de archivos en la próxima versión. La mayoría de las revisiones de los usuarios señalaron el deseo de poder actualizar dinámicamente la Política de acceso a recursos sin necesidad de reiniciar el programa. Es decir, también está en la hoja de ruta”.
Confusión de JavaScript
El programa también contó con Or Katz, quien demostró una herramienta que desarrolló para detectar código JavaScript ofuscado mediante firmas basadas en estructuras.
Detecta el código JavaScript antes de que el navegador lo procese, “lo cual es más difícil porque la herramienta de ofuscación generará diferentes variaciones del mismo JavaScript malicioso cada vez. [it is] estar confundido”, dijo Katz trago diario antes de su presentación Ofuscación de JavaScript: todo sobre los envoltorios.
“Al usar este enfoque de detección de código estático [meant it has] mejor rendimiento en comparación con los métodos que requieren representación de página.
La herramienta también expone una serie de funciones recopiladas del código JavaScript que permiten una mayor capacidad de detección y clasificación.
Katz agregó: “Tenemos pensamientos futuros sobre agregar más capacidades a nuestras herramientas de ofuscación, utilizando funciones de recopilación para entrenar módulos de aprendizaje automático que nos permitirán clasificar códigos maliciosos y maliciosos”.
Llamada-DNSteal
Una tercera herramienta, Invoke-DNSteal, permite a los usuarios realizar transferencias de archivos usando el protocolo DNS como canal de comunicación encubierto, dijo su creador, Joel Gamez. trago diario.
Si bien está destinado principalmente a los evaluadores de penetración, los cazadores de recompensas de errores también pueden usarlo “en entornos restringidos para extraer información de una computadora comprometida”, señaló Gamez.
“A diferencia de otras herramientas de exfiltración de datos DNS, Invoke-DNSteal se destaca por sus dos características principales:
En primer lugar, no utiliza bibliotecas de ningún tipo y no depende de terceros para funcionar.
“Para el lado del servidor, solo usa Python y sockets, por lo que cualquier dispositivo que pueda ejecutar Python (aunque limitado) puede ejecutar el servidor.
“Para el lado de la víctima (o del cliente, si lo prefiere), se utilizará para enviar datos a través de solicitudes nativas de PowerShell. DNSevitando así muchas soluciones antivirus y EDR.
A diferencia de otras herramientas, dice Gamez, Invoke-DNSteal se enfoca en la resolución, no en el dominio DNS.
“Todas las herramientas de exfiltración de DNS necesitan un dominio al que enviar información. Para eso, necesitan resolver esa consulta usando cualquier resolución de DNS.
“En el caso de Invoke-DNSteal, nos enfocamos en usar un solucionador controlado por el atacante (o una lista de ellos) que resolverá cualquier dominio, incluso si no existe.
“De esta manera, es posible enviar información a dominios aleatorios que no existen, evitando así la mayoría de las soluciones anti-suplantación de DNS del mercado”.
Los usuarios también pueden controlar el tamaño y el tiempo de envío de las cargas útiles, lo que les ayudará a evadir la protección.
“Decidí crear esta herramienta porque no encontré a nadie que resolviera este problema o usara esta técnica para usar dominios aleatorios que no existen para realizar estos desvíos”, dijo Gamez.
“En versiones futuras, agregaremos control de consistencia (no olvide UDP [User Datagram Protocol] no disponible por defecto), cifrado de payload por defecto, cliente para Linux y algunas mejoras en la compresión de payload entre muchas otras cosas.
TAMBIÉN PODRÍA GUSTARTE Black Hat Europe 2022: una Internet segura es posible, pero solo con cambios en la industria
