4 sept 2015

Acarus: APT para Pentesting

Pocas cosas dan tanto miedo como las siglas APT: "Una amenaza persistente avanzada, también conocida por sus siglas en inglés, APT (Advanced Persistent Threat), es un conjunto de procesos informáticos sigilosos y continuos, a menudo orquestados por humanos, dirigidos a penetrar la seguridad informática de una entidad específica. Una APT, generalmente, fija sus objetivos en organizaciones o naciones por motivos de negocios o políticos. Los procesos de APT requieren un alto grado de cobertura durante un largo período de tiempo. Entre este tipo de software han sido desgraciadamente famosos: Stuxnet, The Flame, Medre, Careto, Duku.

Uno de los que más me ha hecho pensar y de los que más me ha gustado su enfoque es Acarus, que sin embargo desde el 2014 no he vuelto a oír hablar de él... por lo visto sus desarrolladores están volcados en el desarrollo ACRILYCWIFI (a estos muchachos se les acumulan las buenas ideas).

¿Qué es Acarus?

Acarus es un sofware desarrollado por Tarlogic, en palabras de sus creadores:
"Tarlogic ha desarrollado un APT llamado Acarus que puede ser utilizado como un ciber arma en tests de intrusión remotos para detectar vías de exfiltración de datos confidenciales de una organización a internet y comprobar los mecanismos de seguridad existentes para poder protegerse de un APT".
APT que siguen usando en el día a día para estudiar distintas vías con las que saltarse la seguridad de las redes de sus clientes y ayudarles a protegerse.

Acarus se basa en el protocolo WXP también desarrollado y liberado por Tarlogic https://github.com/TarlogicSecurity/wxp. Este protocolo se aprovecha la WLAN API nativa de Windows y aprovecha los paquetes de señalización Wifi:
  • Probe Resquest: Es un frame utilizado por cualquier STA para buscar de forma activa un AP o un BSS.
  • Probe Response: Frame enviado en respuesta a un Probe Request. Contiene información acerca del emisor y de la red.
  • Beacon: Son enviados por el AP en un BSS o su equivalente en un IBSS para anunciar su presencia y realizar tareas de sincronización. Anuncia el comienzo de un "Contention Free (CF) period" durante el cual el AP delega el permiso para transmitir por sondeo (Poll).
  • Para establecer un canal de comunicación entre Acarus (servidor) y Acarus (cliente) parecido a TCP/IP, dotando de cierta sincronización a partes de un protocolo totalmente asíncrono.
Esto permite comunicar dos equipos aislados de una red convencional sin ni tan siquiera necesitar ip para lograr la comunicación, y permite desde abrir una shell hacia el equipo víctima hasta una libre circulación de archivos... es decir, establece un canal de comunicación emulando a TCP/IP.
La especialización de un APT viene de la mano de su capacidad de infección, a través de un gran número de vectores diferentes como son llaves USB, documentos ofimaticos, ingeniería social y aprovechando fallos de seguridad no publicos (0-Day Exploit) para traspasar la primera línea de defensa de su empresa.
Una vez desplegado el APT se instala en el sistema donde puede permanecer oculto y sin actividad durante un largo período de tiempo hasta que hace uso de canales de comunicaciones silenciosos, a través de conexiones y tráfico de red aparentemente legítimo (TCP, UDP, HTTP, HTTPs, DNS,WiFi,..) para comunicarse con el centro de control de Tarlogic desde el que se puede manejar su actividad.

Fuente: Hackplayers y Tarlogic

Suscríbete a nuestro Boletín

2 comentarios:

  1. Recomiendo una pasada por: http://www.sniferl4bs.com/2015/10/ataques-dirigidos-con-apts-wi-fi.html aquí esta la presentación del WXP en acarus.

    ResponderBorrar

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!