Inmersión en la post-explotación tiene rima (by @CyberVaca_ #hc0n2019)

Vamos a empezar a publicar las presentaciones de las charlas de la h-c0n 2019 con la de uno de los ponentes mejor valorados durante la primera edición: Luis Vacas aka CyberVaka, compañero de batallas de nuestro grupo l1k0rd3b3ll0t4 y severo "castigador" de Güindous xD

En su charla de este año nos traía la suite Salsa Tools, un conjunto de herramientas escritas en C# que nos permitirán tener una shell reversa en cualquier entorno de Windows sin la necesidad de tener PowerShell para su ejecución. Esta suite está enfocada a tener mayor versatilidad, bypassear el antivirus y dificultar que obtengan el código.

La idea es separar el loader del payload, cifrar el payload, cargarlo en memoria y añadir métodos de transferencia. El payload siempre lo usaremos como string.

El resultado es un crypter, un payload y el loader:

- EncrypterAssembly: cifra el payload usando RC4. Tenemos la versión en python o exe.

- EvilSalsa: es el payload. Básicamente, lo que hace es cargar  System.Management.Automation.dll. Crea un espacio de ejecución con cuatro tipos de shells (TCP/UDP/ICMP/DNS). Cuando se carga EvilSalsa en el sistema, lo primero que hace es verificar si se encuentra "c:\windows\system32\amsi.dll" en el sistema, si lo está parcheado :D. El parche es una variante del parche de CyberArk y Rastamouse.

- SalseoLoader: se encarga de cargar el payload cifrado. SalseoLoader puede compilarse como una librería o como un ejecutable. En el caso de que se compile como ejecutable, solo debemos pasar el argumento que queremos ejecutar. Si lo compilamos como una librería tendremos que realizar una exportación del descriptor "main", y la forma de crear el argumento se realiza a través de la lectura de variables de entorno.

Podéis encontrar todo el software en el repo de Github: https://github.com/Hackplayers/Salsa-tools/

Os dejo la presentación y los videos de demo que usó en su charla de la h-c0n 2019:


Bashfuscator: un framework para ofuscar Bash


Bashfuscator es un framework modular y extensible escrito en Python 3 para ofuscar Bash. A través de esta herramienta dispondremos de muchas formas diferentes de hacer que los one-liners o scripts en bash sean mucho más difíciles de entender. Esto se logra generando un código Bash aleatorio y enrevesado que, en tiempo de ejecución, se evalúa en la entrada original y la ejecuta. Bashfuscator hace que la generación de comandos y scripts Bash muy confusos sea fácil, tanto desde la línea de comandos como desde una librería de Python.

El propósito de este proyecto es dar a un Red Team la capacidad de evitar las detecciones estáticas en un sistema Linux, y el conocimiento y las herramientas para escribir mejor las técnicas de ofuscación de Bash. Aunque también este framework fue desarrollado teniendo en cuenta al Blue Team, ya que puede generar fácilmente miles de comandos o comandos ofuscados únicos para ayudar a crear y probar las detecciones de la ofuscación de Bash.

Soporte de payloads

Aunque Bashfuscator funciona en sistemas UNIX, muchos de los payloads que genera no lo harán. Esto se debe a que la mayoría de los sistemas UNIX utilizan utilidades basadas en BSD, y Bashfuscator fue construido para funcionar con utilidades basadas en GNU. En el futuro, se puede agregar el soporte de payload BSD, pero por ahora los que se generan con Bashfuscator deberían funcionar en sistemas GNU Linux con Bash 4.0 o más reciente.

Requisitos de instalación

Bashfuscator requiere Python 3.6+.

En una distribución basada en Debian, ejecuta este comando para instalar las dependencias:

sudo apt-get update && sudo apt-get install python3 python3-pip python3-argcomplete xclip

En una distribución basada en RHEL, ejecuta este comando para instalar las dependencias:

sudo dnf update && sudo dnf install python3 python3-pip python3-argcomplete xclip

Luego, ejecuta estos comandos para clonar e instalar Bashfuscator:

git clone https://github.com/Bashfuscator/Bashfuscator
cd bashfuscator
python3 setup.py install --user

Solo se admiten las distribuciones basadas en Debian y RHEL. Aunque Bashfuscator ha sido probado en algunos sistemas UNIX no llega ser todavía compatible.

#hc0n2019 : Crónica de la segunda conferencia de @Hackplayers


Cuando era pequeño recuerdo que una vez mi padre me dijo que era mucho más difícil y valioso construir algo que destruirlo. Él era albañil así que usó el símil de una pared de ladrillos: reventar un muro a mazazos es mucho más fácil y rápido que tener que construirlo... y realmente es así, crear es más laborioso y debe hacerse "ladrillo a ladrillo", desde la base del suelo hacia el cielo, tan alto como quieras o te empeñes que llegue. Así nació Hackplayers hace 10 años, desde abajo del todo, empecé con un ladrillo, luego con otro, después otro tras otro y hoy todavía esa construcción sigue creciendo, un viaje en el que muchos amigos se han ido sumando poniendo también ladrillos, levantando juntos nuevos proyectos como nuestra propia conferencia: la h-c0n.

No sé cuánto tiempo resistirá en pie esta parte del muro, ni qué tan alto llegará; sólo que estoy tremendamente satisfecho de lo que hemos construido hasta ahora, un evento con una gran acogida donde todos los participantes terminan contentos (nuestro mayor logro) para convertirse en un punto de encuentro entre profesionales, estudiantes y en definitiva apasionados por un interés común: el hacking y la in-seguridad informática.

En esta nuestra segunda edición, que tuvo lugar el 8 y 9 de febrero, intentamos ser bastante continuistas con respecto a la anterior. ¿Por qué?, pues porque creemos que el año pasado salió todo muy bien y porque teníamos prácticamente la posibilidad de contar con los mismos ingredientes, lo que se traducía en una oportunidad de consolidar el Congreso y dar un pasito más. Así que el formato fue similar: mismo escenario, mismo tipo de CTF, sorteos y descuentos para los asistentes y la posibilidad de disfrutar de 12 charlas y 4 talleres de una temática amplia y diversa. Precisamente porque una de las novedades de este año fue poner en liza un "Call For Papers" para poder elegir análisis de malware, Threat intelligence, Red Team, Wireless hacking, Exploiting, Reversing, Hardware, IoT, Pentesting, Mobile, Radio, Privacidad y anonimato... casi nada.