Uno de los que más me ha hecho pensar y de los que más me ha gustado su enfoque es Acarus, que sin embargo desde el 2014 no he vuelto a oír hablar de él... por lo visto sus desarrolladores están volcados en el desarrollo ACRILYCWIFI (a estos muchachos se les acumulan las buenas ideas).
¿Qué es Acarus?
Acarus es un sofware desarrollado por Tarlogic, en palabras de sus creadores:"Tarlogic ha desarrollado un APT llamado Acarus que puede ser utilizado como un ciber arma en tests de intrusión remotos para detectar vías de exfiltración de datos confidenciales de una organización a internet y comprobar los mecanismos de seguridad existentes para poder protegerse de un APT".APT que siguen usando en el día a día para estudiar distintas vías con las que saltarse la seguridad de las redes de sus clientes y ayudarles a protegerse.
Acarus se basa en el protocolo WXP también desarrollado y liberado por Tarlogic https://github.com/TarlogicSecurity/wxp. Este protocolo se aprovecha la WLAN API nativa de Windows y aprovecha los paquetes de señalización Wifi:
- Probe Resquest: Es un frame utilizado por cualquier STA para buscar de forma activa un AP o un BSS.
- Probe Response: Frame enviado en respuesta a un Probe Request. Contiene información acerca del emisor y de la red.
- Beacon: Son enviados por el AP en un BSS o su equivalente en un IBSS para anunciar su presencia y realizar tareas de sincronización. Anuncia el comienzo de un "Contention Free (CF) period" durante el cual el AP delega el permiso para transmitir por sondeo (Poll).
- Para establecer un canal de comunicación entre Acarus (servidor) y Acarus (cliente) parecido a TCP/IP, dotando de cierta sincronización a partes de un protocolo totalmente asíncrono.
La especialización de un APT viene de la mano de su capacidad de infección, a través de un gran número de vectores diferentes como son llaves USB, documentos ofimaticos, ingeniería social y aprovechando fallos de seguridad no publicos (0-Day Exploit) para traspasar la primera línea de defensa de su empresa.
Fuente: Hackplayers y Tarlogic
Excelente articulo!
ResponderBorrarRecomiendo una pasada por: http://www.sniferl4bs.com/2015/10/ataques-dirigidos-con-apts-wi-fi.html aquí esta la presentación del WXP en acarus.
ResponderBorrar