Fireaway, una herramienta para evadir firewalls de nueva generación

Fireaway es una herramienta escrita en Python para auditar, bypassear y exfiltrar datos contra las reglas de inspección de capa 7/AppID en firewalls de próxima generación o NGFW. Sus tácticas se basan en el principio de tener que permitir que las conexiones se establezcan a través del NGFW para ver los datos de capa 7 a filtrar, comportándose como aplicaciones falsas que intentan ocultar canales de comunicación dentro de los logs del firewall como si fueran tráfico normal de usuario, como navegación hacia Internet.

Inicio del servidor FireAway: Normalmente, el servidor FireAway se iniciará fuera del perímetro del firewall (como cualquier servidor en Internet) y escuchará en un puerto que se cree cerrado para ver si alguna regla basada en aplicaciones permite el tráfico en este puerto:

python fa_server.py

Todos los datos recibidos por el servidor en ese puerto se guardarán en el archivo ReceivedData.txt del directorio donde se inició el servidor. Si el servidor detecta diferentes tamaños en la suma de los datos recibidos (indicando que se ha iniciado el filtrado del firewall), esta salida se mostrará en la consola del servidor:

Got the same or lower amount of data on two consecutive runs.  If sending test data, maximum data leak size may have been reached.

Inicio del cliente FireAway / Application Spoofer: El cliente FireAway tiene dos modos:

- Modo de prueba (modo 0): envía datos aleatorios dentro de trozos (chunks) que va incrementando para ver cuántos datos se pueden enviar antes de que el AppID del cortafuegos funcione y detenga el flujo de tráfico.
- Modo Exfiltración (modo 1): abre un archivo y lo envía fragmentado a través del cortafuegos.

Para iniciar el cliente básico:

python fa_client.py

Para iniciar el cliente de suplantación de aplicaciones:

python fa_spoof.py

El spoofing de aplicaciones insertará aleatoriamente encabezados HTTP con los trozos de datos para contaminar los registros con varias aplicaciones con el fin de enmascarar la exfiltración de datos.

Descarga y más información de Fireaway: https://github.com/tcstool/fireaway

Comentarios

  1. Buenas Vicente, muy interesante Fireaway. Pero por ampliar el arsenal con más herramientas para bypass de los NGFW tendriamos también What2Evade (W2E):

    Info: http://www.what2code.net/index.php/2016/08/02/what2evade-on-github/

    Video: https://www.youtube.com/watch?v=41BDLwtyZEg

    Download: https://github.com/What2Code/What2Evade

    Saludos

    ResponderEliminar

Publicar un comentario