Skyhook: una herramienta para exfiltrar información evadiendo IDS

Skyhook es una utilidad basada en REST que se utiliza para transferir archivos dentro y fuera de redes defendidas por IDS/IPS y medidas DLP. Viene con un cliente web preempaquetado que utiliza una combinación de React, Vanilla JS y Web Assembly para llevar a cabo las transferencias de archivos.

El servidor de transferencia de archivos de Skyhook ofusca perfectamente el contenido del archivo con una serie de algoritmos configurados por el usuario antes de escribir el contenido en las respuestas. Los clientes, que están configurados con los mismos algoritmos de ofuscación, desofuscan el contenido del archivo antes de guardarlo en el disco. También utiliza una técnica de transmisión de archivos para gestionar las transacciones HTTP de forma fragmentada, facilitando así las transferencias de archivos de gran tamaño.

Y aquí está la interfaz de transferencia de archivos. Al hacer clic en "Descargar", el archivo se recupera en fragmentos cifrados con la cadena de métodos de ofuscación configurados anteriormente.

Luego mediante JavaScript se desofusca el archivo antes de solicitar al usuario que lo guarde en el disco.

A continuación se muestra una solicitud derivada de una descarga que se está inspeccionando con Burp. Los elementos clave de la transacción se cifran para evadir la detección.

Fuentes:

https://www.hackplayers.com/2023/08/skyhook-exfiltrar-evadiendo-IDS.html