jueves, 20 de agosto de 2020

SNIcat: bypassear la inspección TLS para exfiltrar información



      Dos investigadores de Mnemonic, Morten Marstander y Matteo Malvica, han descubierto un método para exfiltrar información bypasseada a dispositivos que interceptan e inspeccionan TLS como proxies web, dispositivos F5 Networks, Palo Alto Networks, Fortinet y otros firewalls de última generación.

Normalmente estos dispositivos verifican el SNI (Server Name Indication), esto proboca el bloqueo de una URL o el hostname si está categorizada como maliciosa.

El bloqueo se realiza una vez que se ha completado el handshake TLS, por lo que se puede aprovechar ese stream unidireccional para exfiltrar información ( el paquete TLS Client Hello siempre llega a su destino). Además, muchos dispositivos que hacen un mirror del tráfico para descifrarlo e inspeccionarlo con un IDS no reciben el handshake TLS.

Siempre que el servidor presente un certificado válido y confiable durante el handshake TLS, la solución de seguridad siempre presentará una versión emulada de ese certificado al cliente, firmada por la CA integrada de la solución. Esto ocurre incluso si el dominio utilizado esta en la lista negra. Si el certificado del servidor es auto-firmado no confiable normalmente devuelve un reset a la sesión TCP.  

Esa lógica (certificado válido = YES ; certificado no-confiable self-signed = NO) ha sido aprovechada por la gente de Mnemonic para implementar la comunicación con el C2 en su herramienta SNIcat que se divide en dos componentes:

  •     Un agente pasivo que debe ponerse en el host ya comprometido. Su único objetivo es volver a conectarse al C2 y ejecutar los comandos proporcionados.
  •     Un servidor C2 que controla al agente desde cualquier lugar de Internet.

El agente pasivo está equipado con varios comandos, incluida la capacidad de subir archivos al servidor. Constantemente recorre todos los comandos disponibles y espera a que el servidor C2 seleccione el deseado aprovechando la capacidad binaria YES/NO mencionada anteriormente.

No hay comentarios:

Publicar un comentario