Curiosidades De Hackers
DETECCIÓN Y EVASIÓN DE DEFENSAS EN RED

Evasion de defensas de red


1 Mecanismo:

Cuando un malware es identificado o payload, se genera una firma (es un patrón de bytes). Estas herramientas analizan e identifican estas firmas utilizando una lista previa llamada lista negra, y nos notifican cuando se detecta un elemento malicioso.

La única limitación es que no puede detectar nuevos malwares, ya que no tienen esa firma instalada y pueden evadirse cambiando esos bytes.

Image 1

2 Mecanismo:

Basado en neurística, se fundamenta de manera similar al anterior, pero establece reglas basadas en el comportamiento del malware, como llamadas al sistema, tipo de escritura, procesos, subprocesos, etc. Realiza un análisis de comportamiento en general y puede identificar malware nuevo o modificado.

Image 2

3 Dinámico:

Se puede analizar el comportamiento de un binario, pero si está cifrado, se carga en un entorno virtual y se observa su comportamiento durante un tiempo. Esto puede consumir mucho tiempo y recursos, especialmente con muchos archivos.

Image 3

Tipos:

Image 4 - Tipos de Malware

BALANCEADORES:

Es una pieza tecnológica que se coloca delante de un servidor web para redirigir la carga y balancearla para evitar problemas de rendimiento.

El problema es que no se pueden ver fácilmente los servicios que ofrece un servidor web.

LOAD BALANCER DETECTOR (LDB):

Esta herramienta detecta balanceadores y puede generar tráfico de red significativo.

Image 5 - Load Balancer Detector (LDB)

HALBERG:

Aquí nos centraríamos en la aplicación web o en identificar la dirección IP pública del servidor (no siempre es posible).

En este caso, no podríamos bypassear, ya que está bien configurado.

Image 6 - HALBERG

WAFF DETECTOR:

Para inyectar códigos y payloads, es importante saber qué tipo de WAF está en uso. Esta solución de seguridad (WAFF) busca patrones significativos de payloads.

Image 7 - WAFF DETECTOR

EVASIÓN DE ESTAS HERRAMIENTAS

En algunos casos, los servidores pueden proteger los dominios principales con WAFF y dejar subdominios desprotegidos. Si no hay subdominios desprotegidos, se puede buscar la dirección IP pública del servidor web para saltar el balanceador y el WAFF.

BYPASS FIREWALL BY DNS HISTORY:

Esta herramienta utiliza historiales de DNS para encontrar la IP pública de un dominio en el pasado, especialmente cuando la aplicación web no tenía WAFF y usaba la IP directamente.

Image 8 - BYPASS FIREWALL BY DNS HISTORY

EVADIR SU MOTOR DE REGLAS:

Cambiando las expresiones regulares, se puede evitar ser detectado por el WAFF.

wab-bypass.com

WAFF-BYPASS TEST TOOL:

Una herramienta intrusiva que lanza muchos payloads para probar si son detectados por el WAFF. Diseñada para pruebas.

Otras soluciones para evasión de WAF:

Existen otras herramientas como WhatWaf, WafNinja y WafPass para la evasión de WAFs. Recuerda usarlas de manera responsable y legal.

Image 9 - WhatWaf /WhatWaf Image 10 - WafNinja WafNinja Image 11 - WafPass WafPass

Por último, recuerda que estas soluciones son intrusivas y su uso en sistemas sin permiso puede ser ilegal y éticamente cuestionable. Utiliza estas técnicas con responsabilidad.