Перевод: Анна Давыдова
Источник: n0where.net
Эксфильтрация данных в простом виде — набор инструментов Cloakify
Обход DLP/MLS устройств; Социальная инженерия аналитиков; Обход AV обнаружения
CloakifyFactory преобразует любой тип файлов (например, .zip, .exe, .xls, и т.д.) в список абсолютно безвредно выглядящих строк. Это позволяет вам замаскировать файл под простой вид, и перенести файл без опасности быть обнаруженым. Причудливый термин для этого — «текстовая стеганография», которая скрывает данные, делая их похожими на другие данные. К примеру, вы можете трансформировать .zip файл в список существ Pokemon или топ 100 веб-сайтов. Затем вы передаете замаскированный файл, как захотите, а после возвращаете эксфильтрованный файл в его оригинальный вид.
Это интересно:
Замаскировав ваш пейлоад файл, вы можете передавать данные через периметр безопасности сети, не запуская при этом тревоги. Вы также можете игнорировать whitelisting контроль – существует ли такое устройство безопасности, которое только позволяет IP-адресам покидать или заходить в сеть? Превратите ваши пейлоад в IP-адреса, и проблема будет решена. Кроме того, вы можете сорвать проверку аналитиков безопасности через специальные инженерные атаки против их рабочих потоков. И как финальный бонус, замаскированные файлы уничтожают сигнатурные средства обнаружения вредоносных программ.
Предварительно заготовленные шифры разработаны так, чтобы выглядеть как безобидные/игнорируемые списки, хотя некоторые (например, хэши паролей MD5) специально предназначены для проведения отвлекающего маневра.
CloakifyFactory также является отличным способом продемонстрировать людям концепцию стеганографии и криптографии. Он очень прост в использовании, проведет пользователя через весь рабочий процесс, и судя по нашим детям, является очень веселым.
CloakifyFactory — это инструмент, управляемый с помощью меню, который использует скрипты Cloakify Toolset. Когда вы выбираете файл для Cloakify, скрипты Base64 кодируют пейлоад, затем применяют шифр для генерации списка строк, который кодирует пейлоад Base64. Затем вы передаете файл, как захотите и куда захотите. После эксфильтрации, выберите Decloakify с таким же самым шифром для того, чтобы декодировать пейлоад.
ПРИМЕЧАНИЕ: Cloakify не является безопасной схемой шифрования. Она очень уязвима к атакам частотного анализа. Выберите опцию ‘Add Noise’ для добавления энтропии во время маскировки пейлоада, для того, чтобы помочь замедлить атаки частотного анализа. Убедится в том, что ваш файл зашифрован перед тем, как его замаскировать, в случае если необходима секретность.
Поддерживаемые скрипты (cloakify.py и decloakify.py) могут быть использованы как автономные. Очень небольшой, простой, чистый, портативный. Для сценариев, где проникновение в полный набор инструментов невозможно, вы можете ввести автономную программу в локальную оболочку, сгенерировать шифр на месте и cloakify -> exfiltrate .
Используйте py2exe , если у Windows цели отсутствует Python. (http://www.py2exe.org/)
Предварительно подготовленные шифры включают в себя следующий список:
- Amphibians (научные наименования)
- Belgian Beers (Бельгийское пиво)
- Desserts in English, Arabic, Thai, Russian, Hindi, Chinese, Persian, and Muppet (Swedish Chef) (Десерты в разных странах)
- Emoji
- evadeAV (мало пространство для шифра, x3 размер пейлоад)
- GeoCoords World Capitals (Lat/Lon) (Мировые столицы)
- GeoCaching Coordinates (w/ Имена сайтов)
- IPv4 Addresses of Popular Websites (Адреса популярных сайтов)
- MD5 Password Hashes (Хэши паролей)
- PokemonGo Monsters (Монстры PokemonGo)
- Ski Resorts (Лыжные курорты)
- Status Codes (generic) (коды состояния (общие)
- Star Trek characters (Персонажи Стар Трека)
- Top 100 Websites (Топ 100 веб-сайтов)
- World Beaches (Мировые пляжи)
- World Cup Teams (Команды чемпионата мира)
Предварительно подготовленные скрипты для добавления шума / энтропии к вашим замаскированным пейлоадам:
- prependEmoji.py: добавляет случайные emoji для каждой строки
- prependID.py: добавляет случайный ID tag для каждой строки
- prependLatLonCoords.py: добавляет случайные LatLong координаты для каждой строки
- prependTimestamps.py: Добавляет временные метки (в стиле журнала регистраций) для каждой строки
Смотри комментарии к каждому сценарию для получения подробной информации о том, как настроить генераторы шума для собственных нужд.
Создание своего собственного шифра
Cloakify Factory работает лучше всего, когда вы используете ваш собственный шифр. Шифры по умолчанию могут устраивать вас в большинстве случаев, но для уникальных сценариев эксфильтрации вам понадобятся свои собственные шифры. По меньшей мере, вы можете скопировать заранее приготовленные шифры и придать им случайный порядок.
Создание шифра:
- Создайте список, состоящий хотя бы из 66 случайных слов / фраз / символов (Юникод принимается)
- Удалите все повторяющиеся записи и все пустые строки
- Придайте списку случайный порядок
- Поместите в «ciphers/» субдиректорию
- Перезапустите CloakifyFactory, и он автоматически загрузит ваш новый шифр, как одну из опций
- Проверьте cloaking / decloaking с новым шифром перед тем, как использовать его в рабочих условиях.