24 junio 2015

c00kiesD00r, ocultando una backdoor en una cookie

Muchas veces, a la hora de investigar una intrusión, se suele tener una check-list de sitios y técnicas que han podido ser empleadas para ocultar una backdoor por parte de un atacante para mantener el acceso.

De lo buena/mala que sea esa check-list depende el número de horas que vas a pasar intentando localizar el 'regalo' del visitante.

Aquí ya hemos hablado alguna vez sobre cómo 'backdoorizar' un servidor apache y decíamos que algo muy común era el uso de peticiones POST en vez de GET para intentar no salir en la foto.

Otra forma de comunicarse con un backdoor que se encuentre en un servidor web es enviando los comandos en una cookie, esta técnica se puede ver implementada en la herramienta c00kiesD00r que cuenta con una parte para el servidor y un cliente que funciona en Windows y Linux para comunicarse con él.

La parte del servidor se puede implementar en muy pocas líneas de PHP


Tal y como está implementada, la herramienta es un muy buen PoC aunque relativamente fácil de detectar. Si sobre ella construimos algo que lleve ofuscación, y la parte del servidor la añadimos a algún fichero .php legítimo, podemos encontrarnos en un escenario bastante más complicado de abordar desde el punto de vista de un analista forense