Tutoriales y Manuales
Entradas Mensuales
-
►
2024
(Total:
1090
)
- ► septiembre (Total: 50 )
-
▼
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
▼
junio
(Total:
85
)
- Estafan a una mujer 170.000€ en Granada (España) q...
- Un técnico corta internet a toda la empresa para c...
- Grupo de ransomware 8Base aumenta los ataques de d...
- Microsoft quiere llevar Windows totalmente a la nube
- Google habría cancelado sus gafas de realidad aume...
- Microsoft prefirió usar los chips de Xbox Series X...
- Un hombre acepta un soborno para desviar 2 millone...
- "El factor humano" la principal debilidad de todas...
- La redada EncroChat conduce a la detención de 6.55...
- Falsas amenazas de bomba como estafa para consegui...
- Diablo IV y World of Warcraft sufren ataques DDoS ...
- El malware que viajando en un solo USB ha infectad...
- Detenida en España una influencer por abusar sexua...
- Nuevo test evalúa la capacidad de la inteligencia ...
- Discord cada vez es menos gratis y más de pago
- La IA regulará los deepfakes para evitar contenido...
- Parches de emergencia para Apple: vulnerabilidades...
- Demandan a Amazon por engañar a sus clientes para ...
- Microsoft confirma oficialmente que sufrió ataques...
- Más de 100.000 cuentas de ChatGPT hackeadas se est...
- Going Dark es el grupo de la UE que quiere termina...
- Se puede extraer información incluso con solo 3 mm...
- El submarino perdido de la expedición del Titanic ...
- La curiosa historia detrás del dominio Googlemail....
- Los jefes del malware bancario Gozi, finalmente en...
- ChatGPT no genera claves de activación de Windows ...
- Banda de ransomware ALPHV (BlackCat) amenaza a Red...
- Grupo de ransomware 8Base apunta a pymes mexicanas
- YouTubers italianos causan la muerte de niño de 5 ...
- La UE obligará a usar baterías sustituibles para a...
- Ransomware Rhysida publica 360.000 documentos del ...
- EEUU arresta en Arizona a un ruso de 20 años del g...
- Intel anuncia nueva nomenclatura para sus procesad...
- Killnet, Anonymous Sudan y REvil amenazan con atac...
- Ciberdelincuentes chinos explotan vulnerabilidad Z...
- La petrolera Shell víctima indirecta del ransomwa...
- Amazon utiliza inteligencia artificial generativa ...
- Descubren que se puede rastrear el domicilio de lo...
- Tails 5.14 mejora la seguridad con el almacenamien...
- Troyano modular Pikabot
- Scripts básicos para encontrar vulnerabilidades co...
- Análisis de precios en el mercado de la Dark Web
- A los senadores de España ya no les srive el iPhon...
- Las Apple Vision Pro tendrán que cambiar de nombre...
- Google DeepMind, OpenAI y Anthropic abren sus mode...
- Pueden robar claves criptográficas grabando en víd...
- Roban miles de dólares en Bitcoins de Rusia y los ...
- Un tipo diferente de petición de ransomware: donar...
- Estados Unidos multa con 20 millones a Microsoft p...
- Dos AirTag expusieron el robo de víveres para Turq...
- La Universidad Pompeu Fabra (UPF) de Barcelona víc...
- Capcom celebra 40º aniversario con grandes juegos ...
- Principales riesgos de seguridad de las APIs y cóm...
- Chrome mejora la seguridad del gestor de contraseñ...
- El ataque a los canales de YouTube con cookies rob...
- Un adolescente chino, de 13 años, se gasta 64.000 ...
- Hackean CNV: Comisión Nacional de Valores de Argen...
- Cómo entrar al router para configurarlo: 192.168.1.1
- Microsoft OneDrive estuvo caído todo el mundo tras...
- Nuevo malware PowerDrop contra la industria aeroe...
- nginx 1.25 añade soporte para HTTP/3
- El masivo ciberataque a MOVEit amenaza los datos p...
- ¿Display Port o HDMI en un PC para juegos?
- Apple apuesta por el «gaming» en macOS
- Los canales de WhatsApp: una forma privada de segu...
- PrivateGPT, el ChatGPT que no necesita conectarse ...
- Técnicas de HTML Smuggling para Phishing
- Libro gratuito: "ESTEGOMALWARE. Evasión de antivir...
- Utilizan imágenes de redes sociales para hacer vid...
- La Unión Europea plantea prohibir el uso de Huawei...
- Los algoritmos de Instagram promueven redes de ped...
- Ciberataque a varias televisiones rusas con un 'de...
- Apple presenta Vision Pro, sus gafas de realidad m...
- Kermit, el cibercriminal “selecto” y de “alta repu...
- Elon Musk, otra vez acusado de manipular el precio...
- Rusia dice que la NSA colabora con Apple para espi...
- La historia de cómo varios adolescentes crearon la...
- Un dron militar controlado por IA se rebela y mata...
- Kaspersky afirma que hackearon varios iPhones de s...
- RARBG cierra tras 15 años ofreciendo Torrents
- Pegasus tiene un sustituto como software espía en ...
- El Servicio Nacional de Salud británico compartió ...
- Amazon pagará 23 millones por violar la privacidad...
- La comunidad open source no tiene la culpa de los ...
- Cientos de modelos de placas base Gigabyte vulnera...
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
Entradas populares
-
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d...
-
iperf3 es la última versión del popular programa iperf para medir el ancho de banda entre dos o más equipos en red local o Internet . Es...
-
A finales del mes de agosto hablábamos de que los legisladores estadounidense habían solicitado la investigación de TP-Link . Y así, ya ten...
Técnicas de HTML Smuggling para Phishing
El HTML Smuggling (el ¿contrabando? de HTML) no es una técnica nueva de ninguna manera, pero su utilidad y flexibilidad la convierten en una técnica potente que todavía resulta efectiva para los actores de amenazas en la actualidad.
El contrabando de HTML, una técnica de entrega de malware altamente evasiva que aprovecha las funciones legítimas de HTML5 y JavaScript, se usa cada vez más en campañas de correo electrónico que implementan malware bancario, troyanos de acceso remoto (RAT) y otras cargas útiles relacionadas con ataques dirigidos. Este es un caso reciente con un banco argentino.
En particular, esta técnica se observó en una campaña de spear-phishing del actor de amenazas NOBELIUM en mayo. Más recientemente, también hemos visto que esta técnica entrega el troyano bancario Mekotio, así como AsyncRAT/NJRAT y Trickbot, malware que los atacantes utilizan para obtener el control de los dispositivos afectados y entregar cargas útiles de ransomware y otras amenazas.
Para algunos actores, como por ejemplo aquellos que entregan Qakbot, el contrabando de HTML se aprovecha para entregar contenido malicioso (generalmente ISO o ZIP con el payload final en su interior). El contenido HTML enriquecido a menudo se usa para presentar la página como un sitio falso de Google Drive, Microsoft, Adobe, etc. con JavaScript desempaquetando y entregando el payload. Se puede ver un ejemplo de esos en ANY.RUN, y una carga útil recreada en delivr.to.
Se ha observado que otros aprovechan el contrabando de HTML para presentar páginas de inicio de sesión falsas de Microsoft 365. Esto puede ser ventajoso para un atacante, ya que la página de inicio de sesión se genera mediante programación y, a menudo, muestra la dirección de correo electrónico del destinatario para agregar algo de legitimidad y sirve localmente en el punto final de destino, en lugar de estar alojado en Internet.
Técnicas notables HTML Smuggling
En delivr.to han enumerado algunas de estas técnicas interesantes tanto para los defensores como para los profesionales de la seguridad ofensiva. Los investigadores se centran principalmente en las técnicas para el contrabando de una posible carga útil, aunque también se pueden aplicar muchas técnicas a la táctica del robo de credenciales. Estos se pueden dividir libremente en dos categorías, aunque hay cierta superposición entre ellos:
- Ofuscación del payload: ¿cómo podemos transformar nuestra carga útil de contrabando, por ejemplo, una imagen de disco ISO, en el archivo HTML para evadir los escáneres estáticos?
- Entrega del payload: ¿cómo podemos iniciar el desempaquetado/descarga de nuestra carga útil? Potencialmente tomando medidas para garantizar que esto suceda en el momento adecuado, en el objetivo, en lugar de en una caja de arena o bajo algún otro análisis dinámico.
Ofuscación de la carga útil
Para aquellos versados en el contrabando de HTML y las técnicas de ofuscación de carga útil en general, gran parte de esto probablemente sea una noticia vieja. Aunque la prevalencia y el uso in-the-wild de las técnicas aún pueden sorprender. Hablaremos de las siguientes técnicas:
- Base64
- Base64 invertido
- Hexadecimal
- XOR
Base64
Podría decirse que Base64 es el medio más sencillo de incrustar contenido de carga útil en un archivo HTML. Podemos ver un gran ejemplo de esto en el blog de Outflank. Outflank también proporciona un archivo de prueba que demuestra esta técnica.
Desde un punto de vista defensivo, es relativamente trivial identificar los tipos de archivos comunes que han sido codificados en Base64, en función de los primeros bytes codificados (es decir, el encabezado del archivo). Un par de ejemplos incluyen:
- TV... — Encabezado codificado 'MZ' de un archivo ejecutable.
- UE... — Encabezado 'PK' codificado de un archivo Zip (o del nuevo formato de documentos de Office).
Se puede encontrar una muestra de esto para probar por correo electrónico y entrega de enlace en la colección de delivr.to aquí.
Base64 invertido
Una forma sencilla de mejorar (ligeramente) la evasión anterior es invertir la cadena de carga útil codificada en Base64. Esto es algo que se ha visto en la entrega de Qakbot recientemente. El código es bastante similar al primer ejemplo de Outflank, solo que con una función adicional que invierte la cadena codificada antes de iniciar la descarga del archivo local.
Si bien esto oscurece un poco la carga útil, aún es trivial detectar de manera confiable estas cadenas cuando sabemos qué buscar. Aquí se puede encontrar una muestra de esto para probar por correo electrónico; y una demostración en vivo que pasa de contrabando un ISO.
Hexadecimal
Una forma alternativa de representar el contenido de carga útil, también observada en la naturaleza, es en una matriz de bytes hexadecimales, en lugar de las cadenas codificadas anteriores. Con la función JavaScript fromCharCode, se puede convertir los caracteres hexadecimales de la matriz en los bytes sin procesar del archivo original, antes de pasar a funciones posteriores para activar la descarga.
Desde un punto de vista ofensivo, claramente se ha eliminado el contenido de cadenas codificado en Base64. Pero, este enfoque sigue siendo solo otra representación del contenido de archivo predecible (es decir, encabezados de archivo), como podemos ver en los primeros bytes de la matriz, 0x50 y 0x4b, que cuando se convierten de hexadecimal producen el encabezado de archivo PK de un ZIP.
Aquí se puede encontrar una muestra de esto para probar por correo electrónico y entregar enlaces en la y una demostración en vivo que pasa de contrabando un ISO comprimido.
XOR
Al mejorar la estrategia de codificación, podemos recurrir al cifrado para proteger nuestra la útil y eliminar las cadenas reveladoras (¡o caracteres hexadecimales!) que indican el contenido del archivo. Uno de esos métodos de cifrado visto por los actores de amenazas es un cifrado XOR. Podemos ver un ejemplo de esto aquí (¡se usa Google Drive, del que se abusa comúnmente!).
En particular, el malware NOBELIUM emplea esta técnica XOR. Aquí se puede encontrar una muestra de esto para probar por correo electrónico y, aquí una demostración en vivo que pasa de contrabando un ISO comprimido aquí.
Entrega de carga útil
Suponiendo que un actor de amenazas pueda evadir un escáner estático con la ofuscación de la carga útil anterior, deberá concentrarse en cómo iniciar el desempaquetado y la entrega del payload, mientras toma medidas para asegurarse de que evade el análisis de la zona de pruebas.
Descarga en línea
Las muestras recientes (abril de 23) de Qakbot han aprovechado las descargas activadas por botones de archivos de secuencias de comandos de contrabando (por ejemplo, secuencias de comandos WSF). Un ejemplo de esto se puede ver aquí.
En lugar de aprovechar algunos de los mecanismos de entrega y ofuscación de carga útil más complicados observados anteriormente, esta técnica incorpora la carga útil codificada en Base64 en línea en un elemento de anclaje HTML (etiqueta <a>) que se puede usar junto con un botón o similar. La técnica es bastante concisa y se puede demostrar fácilmente.
Fuente: Delivr.to
Vía:
https://blog.segu-info.com.ar/2023/06/metodos-de-html-smuggling-para.html
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.