4 ene. 2020

Técnica RLO para cambiar nombre de archivos ejecutables (y posiblemente dañinos)

Los entusiastas de seguridad (y los delincuentes) siempre buscan exploits de día cero que pueden eludir con éxito las características de seguridad de sistemas cómo Windows 10. Se han llevado a cabo numerosas investigaciones para crear malware indetectable y proyectos completos de GitHub dedicados a automatizar la creación de payloads indetectables como WinPayloads, Veil v3 y TheFatRat.

Todo lo que se explica en esta guía se hace con fines educativos y bajo un laboratorio propiedad de Security Hack Labs. Los usos que se le puedan dar a este tutorial depende del usuario y es absolutamente responsabilidad del él los daños que pueda causar.

Con un poco de ingeniería social, engañar a un usuario objetivo para que abra un archivo malicioso puede ser tan simple como inyectar un poco de Unicode en el nombre del archivo. Por ejemplo, el siguiente GIF muestra un ejecutable de Windows (EXE) disfrazado para aparecer como un archivo de texto normal (TXT), siempre que "Ocultar extensiones para tipos de archivos conocidos" esté deshabilitado en las Opciones del Explorador de archivos.

Unicorn, creado por TrustedSec, es una herramienta sencilla diseñada para ayudar a los testers de penetración con los ataques de PowerShell e inyección de Payloads del tipo shellcode sofisticados directamente en la memoria. Las técnicas utilizadas por Unicorn se basan en el trabajo de Matthew Graeber y el fundador de TrustedSec, David Kennedy.

El problema más grande es la extensión de archivo. Gracias a la opción "Ocultar extensiones para tipos de archivos conocidos" en las Opciones del Explorador de archivos, el sistema operativo Windows no oculta las extensiones de archivo. Para evitar esto, use un carácter Unicode llamado "Override Right-to-Left" (RLO) para invertir el orden de los caracteres que se muestran en el nombre del archivo.
Es importante entender que, cabe mencionar que los caracteres no se están invirtiendo en realidad, la forma en que Windows muestra los caracteres es la que se está invirtiendo. Windows aún reconocerá la extensión de archivo como EXE.
Como se ve en el GIF anterior, el carácter RLO invisible se inyecta entre el nombre del archivo ("fake") y la extensión del archivo fake ("txt"). Todo lo que el carácter RLO está haciendo aquí es voltear el orden en que se muestran los caracteres en el nombre del archivo. Desafortunadamente, el "exe" debe permanecer en el nombre de archivo falso.

Contenido completo en SecurityHackLabs

1 comentario:

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!