Seguridad

Skyhook: una herramienta para exfiltrar información evadiendo IDS

Skyhook es una utilidad basada en REST que se utiliza para transferir archivos dentro y fuera de redes defendidas por IDS/IPS y medidas DLP. Viene con un cliente web preempaquetado que utiliza una combinación de React, Vanilla JS y Web Assembly para llevar a cabo las transferencias de archivos.

El servidor de transferencia de archivos de Skyhook ofusca perfectamente el contenido del archivo con una serie de algoritmos configurados por el usuario antes de escribir el contenido en las respuestas. Los clientes, que están configurados con los mismos algoritmos de ofuscación, desofuscan el contenido del archivo antes de guardarlo en el disco. También utiliza una técnica de transmisión de archivos para gestionar las transacciones HTTP de forma fragmentada, facilitando así las transferencias de archivos de gran tamaño.

Un ejemplo de configuración de la ofuscación:

Y aquí está la interfaz de transferencia de archivos. Al hacer clic en “Descargar”, el archivo se recupera en fragmentos cifrados con la cadena de métodos de ofuscación configurados anteriormente.

Luego mediante JavaScript se desofusca el archivo antes de solicitar al usuario que lo guarde en el disco.

A continuación se muestra una solicitud derivada de una descarga que se está inspeccionando con Burp. Los elementos clave de la transacción se cifran para evadir la detección.

Recordad que “un gran poder conlleva una gran responsabilidad” y que Skyhook puede utilizarse para el bien o para el mal. Es importante utilizarla de forma responsable y ética.

Fuentes:

Powered by WPeMatico

Gustavo Genez

Informático de corazón y apasionado por la tecnología. La misión de este blog es llegar a los usuarios y profesionales con información y trucos acerca de la Seguridad Informática.