Acarus

Pocas cosas dan tanto miedo como las siglas APT: "Una amenaza persistente avanzada, también conocida por sus siglas en inglésAPT (por Advanced Persistent Threat), es un conjunto de procesos informáticos sigilosos y continuos, a menudo orquestados por humanos, dirigidos a penetrar la seguridad informática de una entidad específica. Una APT, generalmente, fija sus objetivos en organizaciones o naciones por motivos de negocios o políticos. Los procesos de APT requieren un alto grado de cobertura durante un largo período de tiempo. El proceso avanzado involucra sofisticadas técnicas que utilizan software malicioso para explotar vulnerabilidades en los sistemas."
Entre este tipo de software han sido desgraciadamente famosos: Stuxnet, The Flame, Medre ,Careto, Duku. 

Uno de los que más me ha hecho pensar y de los que más me ha gustado su enfoque es Acarus, que sin embargo desde el 2014 no he vuelto a oír hablar de él... por lo visto sus desarrolladores están volcados en el desarrollo  ACRILYCWIFI (a estos muchachos se les acumulan las buenas ideas).

¿Qué es Acarus? (o qué era, puesto que ha pasado un año desde que fui consciente de su existencia, cuando tan solo era un POC y ya daba bastante miedito).

Acarus es un sofware desarrollado por Tarlogic, en palabras de sus creadores:

"Tarlogic ha desarrollado un APT llamado Acarus que puede ser utilizado como un ciber arma en tests de intrusión remotos para detectar vías de exfiltración de datos confidenciales de una organización a internet y comprobar los mecanismos de seguridad existentes para poder protegerse de un APT.".

APT que siguen usando en el día a día para estudiar distintas vías con las que saltarse la seguridad de las redes de sus clientes y ayudarles a protegerse.

Acarus se basa en el protocolo WXP también desarrollado y liberado por Tarlogic https://github.com/TarlogicSecurity/wxp. Este protocolo se aprovecha la wlan api nativa de windows y aprovecha los paquetes de señalización wifi:
  • Probe Resquest : Es un frame utilizado por cualquier STA para buscar de forma activa un AP o un BSS.
  • Probe Response : Frame enviado en respuesta a un Probe Request. Contiene información acerca del emisor y de la red.
  • Beacon : Son enviados por el AP en un BSS o su equivalente en un IBSS para anunciar su presencia y realizar tareas de sincronización. Anuncia el comienzo de un “Contention Free (CF) period” durante el cual el AP delega el permiso para transmitir por sondeo (Poll).
Para establecer un canal de comunicación entre Acarus (servidor) y Acarus (cliente) parecido a TCP/IP, dotando de cierta sincronización a partes de un protocolo totalmente asíncrono.

Esto permite comunicar dos equipos aislados de una red convencional sin ni tan siquiera necesitar ip para lograr la comunicación, y permite desde abrir una shell hacia el equipo víctima hasta una libre circulación de archivos... es decir, establece un canal de comunicación emulando a tcp/ip.

Para muestra un botón:
  

En su día Tarlogic prometió dotar a este APT de serias mejoras incluso la migración a Linux y Android... No sé a vosotros pero a mi me da bastante miedito
(así que a partir de ahora después de pegar el esparadrapo en la cámara web, apagar la wifi....XD)

Un saludo, Manuel.

Comentarios