El pasado mes de marzo, Roberto Amado y un servidor realizamos una charla en la RootedCON 2020 titulada Sandbox fingerprinting: Evadiendo entornos de análisis. Esta se componía de dos partes, una primera en la que tratamos de clasificar entornos públicos de sandbox para análisis de malware, una segunda centrada demostrar si era posible identificar e incluso atacar a quien se encontraba analizando nuestras muestras. Dicha segunda parte es la que ocupará esta entrada.

Introducción

Durante los ejercicios de Red Team siempre es importante conocer a quién te enfrentas, sus medidas de seguridad y quien las gestiona. En este punto nos planteamos si sería viable llegar hasta el Blue Team y conocer si nuestros artefactos habían sido identificados y si seguían siendo útiles en el ejercicio.

Con este planteamiento nos centramos en las webs de análisis de malware como VirusTotal, Any.run, Hybrid Analysis… Que son consultadas continuamente por analistas de todo el mundo para buscar información sobre muestras o analizarlas. Los resultados se muestran en la interfaz web de dichas herramientas, mostrando información útil para los analistas como pueden ser direcciones IP o dominios a los que conecta, comandos ejecutados, payloads introducidos y un largo etcétera dedicado a facilitar la vida de los defensores.

Con esta información en mente, nuestro planteamiento fue encontrar vulnerabilidades en la interfaz web de estos servicios y así poder identificar a los usuarios. Para esta tarea los Cross-site scripting (XSS) fueron la opción perfecta.