Compartilhe:

Demonstrado na DefCon 24 por Joey Gervais (TryCatchHCF), o CloakifyFactory transforma o conteúdo de qualquer arquivo (como por exemplo arquivos .zip, .exe, .xls, etc) em uma lista de strings inofensivas. Com isso, você poder esconder o conteúdo de um arquivo e transferí-lo sem alertar os sistemas de segurança.

A técnica utilizada chama-se “Steganografia baseada em texto”, onde os dados verdadeiros são ocultados, dando lugar a outros, aparentemente inofensivos. Por exemplo, você pode transformar um arquivo .zip em uma lista de criaturas Pokemon, resorts de ski, praias, etc. Em seguida, poderá transferir o arquivo e descompactá-lo novamente em seu formato original.

Com o payload encoberto, os dados poderão ser transmitidos dentro de uma rede segura sem disparar alertas. Por exemplo, digamos que exista um mecanismo de segurança que permita determinados endereços IPs entrarem ou sairem de uma rede. Com o CloakifyFactory, você poderá transformar o seu payload em endereços IPs. Além disso, poderá dificultar a análise do analista de segurança via ataques de engenharia social contra seu troubleshooting. Como um bônus, os arquivos encobertos passam desapercebidos pelas ferramentas de detecção de malware baseadas em assinaturas.

As cifras pré-configuradas são projetadas para aparecerem como listas inofensivas/ignoráveis, embora algumas (como os hashes de senhas em MD5) sejam específicas para agirem como iscas.

A ferramenta também é útil em introduzir as pessoas aos conceitos de criptografia e esteganografia. É fácil de usar, além de orientar o usuário durante o processo,

selecao_033

Selection: 1

==== Cloakify a File ====

Enter filename to cloak (e.g. ImADolphin.exe or /foo/bar.zip): /home/crazy4tech/Cloakify/Teste01.txt

Save cloaked data to filename (default: ‘tempList.txt’): Cripto01.txt

Ciphers:

1 – dessertsHindi
2 – skiResorts
3 – ipAddressesTop100
4 – geoCoordsWorldCapitals
5 – belgianBeers
6 – statusCodes
7 – dessertsThai
8 – worldBeaches
9 – dessertsSwedishChef
10 – dessertsArabic
11 – geocache
12 – dessertsRussian
13 – topWebsites
14 – evadeAV
15 – dessertsChinese
16 – pokemonGo
17 – amphibians
18 – worldFootballTeams
19 – dessertsPersian
20 – desserts
21 – hashesMD5
22 – emoji
23 – starTrek

Enter cipher #: 3

Add noise to cloaked file? (y/n): y

Noise Generators:

1 – prependEmoji.py
2 – prependTimestamps.py
3 – prependLatLonCoords.py
4 – prependID.py

Enter noise generator #: 4

Creating cloaked file using cipher: ipAddressesTop100
Adding noise to cloaked file using noise generator: prependID.py

Cloaked file saved to: Cripto01.txt

Preview cloaked file? (y/n): y

Tag: GARY 74.125.224.181
Tag: a7Fb 173.231.140.219
Tag: w7KA 74.125.224.181
Tag: a9I1 31.7.57.13
Tag: 391N 144.198.29.112
Tag: oTl8 173.231.140.219
Tag: yjI4 62.149.24.66
Tag: uFzm 209.31.22.39
Tag: qJHI 72.233.56.138
Tag: KdWb 69.174.244.50
Tag: 60Ot 195.191.207.40
Tag: U6gE 98.124.248.77
Tag: U7fp 72.233.56.138
Tag: Q0we 69.63.181.11
Tag: Beun 97.107.137.164
Tag: 0jhP 72.247.244.88
Tag: 4osY 97.107.132.144
Tag: 0zBU 178.162.238.136
Tag: wOFx 208.94.146.80
Tag: D0Up 174.121.194.34

Press return to continue…

==== Cloakify Factory Main Menu ====

1) Cloakify a File
2) Decloakify a File
3) Browse Ciphers
4) Browse Noise Generators
5) Help / Basic Usage
6) About Cloakify Factory
7) Exit

Selection:

É uma ferramenta baseada em menus, aproveitando os scripts do Cloakify Toolset. Quando você esolhe a opção “Cloakify a File”, primeiramente os scripts codificam em Base64 o payload, em seguida, aplicam uma cifra para uma gerar uma lista de sequência de caracteres que fazem essa codificação. Uma vez codificado, escolha a opção “Decloakify a File” para decodificar o payload, e assim ver o seu conteúdo original.

Observação. O Cloakify por si só não é um esquema seguro de criptografia. Ele é vulnerável à técnicas de análise de frequência. Quando estiver codificando um arquivo qualquer, informe “y” para a opção “Add noise to cloaked file?” quando solicitado.

Os scripts de apoio (cloakify.py e decloakify.py) pode ser usados como scripts autônomos. Pequenos, simples, limpos e portáteis. Para cenários em que a codificação precisa ser feita de forma rápida, você poderá informar o nome do script de apoio (cloakify.py) seguido do arquivo a ser codificado e da cifra. Veja um exemplo abaixo:

Uso: cloakify.py <NomedoPayload> <NomeDoArquivoDeCifra>

./cloakify.py Teste01.txt ciphers/starTrek

Como instalar?

Antes de mais nada é necessário ter o pacote Git instalado em seu sistema operacional. Neste link constam informações de como fazer isso.

Para fazer o download do Cloakify Factory, digite o comando

git clone https://github.com/TryCatchHCF/Cloakify.git

 “Alvo”

Utilize a ferramenta py2exe se o Windows alvo não possuir Python. (http://www.py2exe.org/)

 Descrição dos scripts para adicionar ruído(noise)/entropia

Scripts pré-configurados para adicionar ruído/entropia aos seus payloads:

  • PrependEmoji.py: Adiciona um emoji aleatório a cada linha
  • PrependID.py: Adiciona uma tag de identificação aleatória a cada linha
  • PrependLatLonCoords.py: Adiciona coordenadas LatLong aleatórias para cada linha
  • PrependTimestamps.py: Adiciona timestamps (estilo de arquivo de log) a cada linha

Veja os comentários em cada script para obter detalhes sobre como adaptar os geradores de ruído/entropia de acordo com suas próprias necessidades

 Crie suas próprias cifras

O Cloakify Factory também permite que você utilize suas próprias cifras personalizadas. As cifras padrão podem funcionar para a maioria dos casos, mas em um cenário exclusivo, você tem a possibilidade de utilizar as suas próprias. Você pode exemplo, copiar uma cifra já existente e randomizar conforme achar necessário.

Criando uma Cifra:

  • Gere uma lista de pelo menos 66 palavras / frases / símbolos únicos (aceita Unicode)
  • Remova todas as entradas duplicadas e todas as linhas em branco
  • Randomize a ordem da lista
  • Coloque no subdiretório “ciphers /”
  • Volte a executar CloakifyFactory e irá carregar automaticamente a nova cifra como uma opção
  • Teste a opção cloaking /decloaking com a nova cifra antes de usar em produção.

Apresentação na DefCon 24

Maiores informações no repositório Git do projeto do autor

Fonte utilizada neste post

https://n0where.net/data-exfiltration-in-plain-sight-cloakify-toolset/

Compartilhe: