{"id":96,"date":"2022-11-30T22:48:15","date_gmt":"2022-11-30T21:48:15","guid":{"rendered":"https:\/\/koban3.me\/?p=96"},"modified":"2023-02-05T09:17:47","modified_gmt":"2023-02-05T08:17:47","slug":"stargate-dropper","status":"publish","type":"post","link":"https:\/\/koban3.me\/index.php\/2022\/11\/30\/stargate-dropper\/","title":{"rendered":"Stargate dropper"},"content":{"rendered":"\t\t
\n\t\t\t\t\t\t
\n\t\t\t\t\t\t
\n\t\t\t\t\t
\n\t\t\t
\n\t\t\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t

TL;DR<\/h2>\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t\t\t\t\t

Cos’ \u00e8 un dropper? Con il termine dropper si fa riferimento a un software o script apparentemente innoquo, che non contiene al suo interno il codice malevolo da eseguire ma funge da vettore di attacco.
<\/p>\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t

\n\t\t\t\t
\n\t\t\t\t\t\t\t\t\t

Perch\u00e9 il nome “Stargate dropper”? Perch\u00e9 mentre lo sviluppavo, il tipo di trasferimento del payload dal server remoto al dispositivo di destinazione mi ricordava molto lo “Stargate” dell’omonimo film, quel portale che permetteva di trasferire tramite persone o cose da un punto all’altro dell’universo tramite una specie di tunnel spazio-temporale.<\/p>\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t

\n\t\t\t\t
\n\t\t\t\t\t\t\t
\n\t\t\t
<\/div>\n\t\t<\/div>\n\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/section>\n\t\t\t\t
\n\t\t\t\t\t\t
\n\t\t\t\t\t
\n\t\t\t
\n\t\t\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t

Panoramica<\/h2>\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t\t\t\t\t

Il sistema mira a bypassare eventuali sistemi di detection (es. EDR) trasferendo il payload da installare nel sistema vittima codificandolo in una shellcode in javascript e rileggendolo tramite browser nel sistema di destinazione.<\/p>

L’obiettivo \u00e8 quello di sfruttare eventuali debolezze del sistema di detection per quanto riguarda l’analisi del codice javascript nelle pagine web.<\/p>

Nel sistema di esempio ho testato la possibilit\u00e0 di “droppare” ed eseguire il software “calc.exe”. ll contenuto del file eseguibile \u00e8 stato convertito in shellcode tramite un semplice tool che ho sviluppato preventivamente.<\/p>\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/section>\n\t\t\t\t

\n\t\t\t\t\t\t
\n\t\t\t\t\t
\n\t\t\t
\n\t\t\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t\t\t
\n\t\t\t
<\/div>\n\t\t<\/div>\n\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t

Dettagli<\/h2>\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t

Fase 1 - Creazione gate di origine<\/h3>\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t\t\t\t\t

Ho creato una semplice pagina web dove risiede, nidificata all’interno di una porzione di codice Javascript, una variabile contenente la shellcode del software da inviare al sistema di destinazione.<\/p>\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/section>\n\t\t\t\t

\n\t\t\t\t\t\t
\n\t\t\t\t\t
\n\t\t\t
\n\t\t\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\"\"\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/section>\n\t\t\t\t
\n\t\t\t\t\t\t
\n\t\t\t\t\t
\n\t\t\t
\n\t\t\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t\t\t
\n\t\t\t
<\/div>\n\t\t<\/div>\n\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t

Fase 2 - Creazione gate di destinazione<\/h3>\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t\t\t\t\t

Ho creato il dropper vero e proprio. Il sistema \u00e8 sviluppato in .NET e utilizza il componente “CefSharp” per creare il gate di arrivo dal sistema di origine.<\/p>\n

Tralasciando la parte di inserimento e inizializzazione del componente “CefSharp”, il fulcro del sistema \u00e8 racchiuso in due parti principali: il recupero del payload da impiantare e la sua decodifica.<\/p>\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t

\n\t\t\t\t
\n\t\t\t\t\t

Fase 2.1 - Recupero payload<\/h3>\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t\t\t\t\t

Il contenuto della variabile contenente il payload viene recuperato eseguendo un semplice codice Javascript che non fa altro che eseguire una funzione che come valore di ritorno ha il contenuto della variabile della shellcode. <\/p>

Cos\u00ec facendo si aumenta anche il livello di difficolt\u00e0 della detection, in quanto andrebbero “valutate” le azioni svolte dalla funzione che viene eseguita.<\/p>\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t

\n\t\t\t\t\t\t
\n\t\t\t\t\t
\n\t\t\t
\n\t\t\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\"\"\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/section>\n\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t\t\t
\n\t\t\t
<\/div>\n\t\t<\/div>\n\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\"\"\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t\t\t
\n\t\t\t
<\/div>\n\t\t<\/div>\n\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t

Fase 2.2 - Decodifica payload<\/h3>\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t\t\t\t\t

Il valore restituito dalla funzione di recupero del payload viene salvato all’interno di un oggetto .NET generico; pi\u00f9 precisamente una lista di oggetti. Di conseguenza, lo step successivo \u00e8 quello di riconvertirlo in un array di byte per poterlo rendere utilizzabile.<\/p>\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t

\n\t\t\t\t
\n\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\"\"\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t\t\t
\n\t\t\t
<\/div>\n\t\t<\/div>\n\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/section>\n\t\t\t\t
\n\t\t\t\t\t\t
\n\t\t\t\t\t
\n\t\t\t
\n\t\t\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t

Conclusione<\/h2>\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t\t\t\t\t

Arrivati a questo punto, abbiamo a disposizione il nostro payload da impiantare. Dato che lo scopo di questo articolo non \u00e8 quello di dimostrare eventuali tecniche di esecuzione per evadere i sistemi di sicurezza, la dimostrazione del sistema termina qui, anche perch\u00e9 altrimenti si aprirebbero miliardi di scenari sul post-download che magari discuter\u00f2 in altri articoli.<\/p>\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t

\n\t\t\t\t\t\t
\n\t\t\t\t\t
\n\t\t\t
\n\t\t\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t\t\t
\n\t\t\t
<\/div>\n\t\t<\/div>\n\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/section>\n\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t

Eventuali migliorie<\/h2>\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t\t\t\t\t

Questa \u00e8 la versione semplificata del sistema che mira a dimostrarne la funzionalit\u00e0. E’ chiaro che il sistema si potrebbe migliorare notevolmente. Un esempio al volo potrebbe essere quello di codificare in base64 la shellcode presente nella pagina web, ma come sempre, il limite \u00e8 solo la fantasia.<\/p>\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/section>\n\t\t\t\t<\/div>\n\t\t","protected":false},"excerpt":{"rendered":"

TL;DR Cos’ \u00e8 un dropper? Con il termine dropper si fa riferimento a un software o script apparentemente innoquo, che non contiene al suo interno il codice malevolo da eseguire ma funge da vettore di attacco. Perch\u00e9 il nome “Stargate dropper”? Perch\u00e9 mentre lo sviluppavo, il tipo di trasferimento del […]<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[4],"tags":[8,10,11,5,6,7,9],"class_list":["post-96","post","type-post","status-publish","format-standard","hentry","category-proof-of-concept","tag-c","tag-cefsharp","tag-chromium","tag-cybersecurity","tag-dropper","tag-hacking","tag-javascript"],"_links":{"self":[{"href":"https:\/\/koban3.me\/index.php\/wp-json\/wp\/v2\/posts\/96","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/koban3.me\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/koban3.me\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/koban3.me\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/koban3.me\/index.php\/wp-json\/wp\/v2\/comments?post=96"}],"version-history":[{"count":35,"href":"https:\/\/koban3.me\/index.php\/wp-json\/wp\/v2\/posts\/96\/revisions"}],"predecessor-version":[{"id":231,"href":"https:\/\/koban3.me\/index.php\/wp-json\/wp\/v2\/posts\/96\/revisions\/231"}],"wp:attachment":[{"href":"https:\/\/koban3.me\/index.php\/wp-json\/wp\/v2\/media?parent=96"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/koban3.me\/index.php\/wp-json\/wp\/v2\/categories?post=96"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/koban3.me\/index.php\/wp-json\/wp\/v2\/tags?post=96"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}