Técnicas "file-less" para pentesting (by @rpinuaga #hc0n2018)

Sois muchos los que estáis preguntando acerca del material de las ponencias y talleres de la pasada h-c0n. Tal y como dijimos, lo que vamos a hacer es ir liberándolo poco a poco (el que nos faciliten), publicándolo de forma simultánea en el blog y en la web oficial de la conferencia. Si bien, aquí ampliaremos un poco el material con más enlaces, fotos y vídeos y podréis comentar cualquier cosa al respecto.

Empezaremos con la charla "Técnicas "file-less" para pentesting" de Ramón Pinuaga (@rpinuaga), pentester y analista de seguridad con mas de 17 años de experiencia, trabajando actualmente el Prosegur.


Cada día es mas habitual que los creadores de malware utilicen técnicas "file- less" para infectar equipos. ¿Por qué? pues porque no utilizar ficheros normales para ocultarse dificulta su detección por parte de antivirus y herramientas similares.

En su presentación vimos en qué consisten estas técnicas que básicamente se dividen en guardar todo en memoria (problema: no tendremos persistencia) o guardar código fuera de un fichero o en ficheros especiales.

Algunos clásicos como:

• Fuera del sistema de ficheros: UEFI, Firmware de HDD, Hidden disk
areas, $EA, etc.
• En la red o en sistemas externos
• En ADS (Alternate Data Streams)
• En el registro de Windows

Y otros menos habituales como:

• WMI (subscriptions)
• Eventos de Windows (.evt)
• Dentro de documentos de ofimática (.doc, .xls, .pdf).
• Nombres de ficheros o directorios
• Variables de entorno 

Además vimos cómo podemos utilizarlas para mejorar la eficiencia de nuestros proyectos de pentesting.

Demo 1:


Demo 2:


Fotos:




Enlaces:

- http://www.h-c0n.com/p/ponencias.html#Fileless
- http://www.h-c0n.com/p/ponentes.html#Ramon

Comentarios

  1. Lo de esconder código en nombres de carpetas parece interesantísimo pero no me quedó nada claro con la demo.
    ¿Podríamos darle unas vueltitas?

    ResponderEliminar

Publicar un comentario