Inmersión en la post-explotación tiene rima (by @CyberVaca_ #hc0n2019)

Vamos a empezar a publicar las presentaciones de las charlas de la h-c0n 2019 con la de uno de los ponentes mejor valorados durante la primera edición: Luis Vacas aka CyberVaka, compañero de batallas de nuestro grupo l1k0rd3b3ll0t4 y severo "castigador" de Güindous xD

En su charla de este año nos traía la suite Salsa Tools, un conjunto de herramientas escritas en C# que nos permitirán tener una shell reversa en cualquier entorno de Windows sin la necesidad de tener PowerShell para su ejecución. Esta suite está enfocada a tener mayor versatilidad, bypassear el antivirus y dificultar que obtengan el código.

La idea es separar el loader del payload, cifrar el payload, cargarlo en memoria y añadir métodos de transferencia. El payload siempre lo usaremos como string.

El resultado es un crypter, un payload y el loader:

- EncrypterAssembly: cifra el payload usando RC4. Tenemos la versión en python o exe.

- EvilSalsa: es el payload. Básicamente, lo que hace es cargar  System.Management.Automation.dll. Crea un espacio de ejecución con cuatro tipos de shells (TCP/UDP/ICMP/DNS). Cuando se carga EvilSalsa en el sistema, lo primero que hace es verificar si se encuentra "c:\windows\system32\amsi.dll" en el sistema, si lo está parcheado :D. El parche es una variante del parche de CyberArk y Rastamouse.

- SalseoLoader: se encarga de cargar el payload cifrado. SalseoLoader puede compilarse como una librería o como un ejecutable. En el caso de que se compile como ejecutable, solo debemos pasar el argumento que queremos ejecutar. Si lo compilamos como una librería tendremos que realizar una exportación del descriptor "main", y la forma de crear el argumento se realiza a través de la lectura de variables de entorno.

Podéis encontrar todo el software en el repo de Github: https://github.com/Hackplayers/Salsa-tools/

Os dejo la presentación y los videos de demo que usó en su charla de la h-c0n 2019:



Demo:

Shellcode que "pita"
Url del video: https://youtu.be/Hjy8BQrT47I

Shellcode que NO "pita"
Url del video: https://youtu.be/THXYVYgjc6g

EncrypterAssembly
Url del video: https://youtu.be/ID95-Sy1y_M

SalseoLoaderDLL
Url del video: https://youtu.be/6ezW4OKvyNQ

Demo en dominio
Url del video: https://youtu.be/mrZSIG69xe4

Fotos: 





Enlaces (web h-c0n): 

- https://www.h-c0n.com/p/ponentes_9.html#Vacas
- https://www.h-c0n.com/p/ponencias.html#avbypass

Material adicional: 

- AMSI Bypass Redux (CyberArk)
- AMSI Bypass (Rastamouse) 

Comentarios