Salve a tutti, mi stavo interessando per quanto riguarda l'argomento evasion. Ho letto in diversi forum dell'offuscamento del malware o del payload con un semplice Base64 encoding. Ha senso, essendo facilmente riconoscibile un encoding Base64 da parte dell'AV e quindi bloccato?
Domanda Base64 obfuscation
- Autore discussione ByteMurderer
- Data d'inizio
- Stato
Scusami ma ho avuto molto da fare è sono stato inattivo, ho letto solo ora. Potresti spiegarmi un po? Ho bravo a decodificare ciò che mi hai mandato online ma non ci capisco niente vedo solo punti interrogativi
Ho cercato base64 decoder, non ho usato chatgpt ma non cambierebbe nulla. Non riesco comunque a capire, non so molto di criptografia. Ho provato a leggere qualcosa online analizzando alcune Base64 CTF ma non capisco qua cosa si deve fare
Il tassello che ti manca è che base64 non è originariamente inteso per "offuscare i malware". Quando tu codifichi una stringa di codice in base64 ottieni come effetto indiretto l'evasione dell'antivirus perché la codifica genera nuove signature, ma base64 è in realtà molto di più che offuscare 10 linee di python.
Il formato base64 è usato per trasmettere dati in canali che lavorano con testi, applicazioni, immagini, audio, video, dati binari in "raw format" ecc. (come ad esempio merdagram, fessabook, tikketetokketetakkete, ma anche siti seri) - Serve specificatamente per rendere i flussi di dati più "maneggevoli" per i browser: invece di passargli i dati in raw format (strategia prona ad errori, rallentamenti o corruzioni di dati) tu converti tutto in una stringa di caratteri ASCII e glieli passi per evitare falle.
Detto questo, c'è un ultimo suggerimento che ti do per la CTF: esistono diverse varianti di Base64. Quella che ho usato io era UTF-16 Little Endian.. Se non erro? Non ricordo, perché la challenge l'ho fabbricata un mese fa.
Devo dire che è una CTF mostruosamente difficile per i novizi ma secondo me la puoi fare
Ultima modifica:
bravo ^^
Messaggio unito automaticamente:
@ByteMurderer comunque scherzi a parte, lo scopo della CTF è fornire un'idea chiara di come si può usare base64 in quello che dicevi, cioè l'offuscamento dei malware: un utente ha risolto la CTF @text bravo - Ovviamente, scherzi a parte, in uno scenario serio un attaccante può fare sostanzialmente quello che ho fatto io, con la differenza che al posto di "Scemo chi legge" trovate "Datemi 1 Bitcoin sennò distruggo Winzozz"
PS. Il blob di base64 contenuto nell'allegato era sostanzialmente un exe classic per Windows moderno a 64 bit, scritto in C, che all'apertura mostrava quella c*zzata lì. L'esperimento ha lo scopo di dimostrare la versatilità di base64, che come dicevo prima viene usato soprattutto nelle webapp che erogano servizi web cazzi e mazzi, ma ovviamente può essere usato anche in app locali semplici come quella che ho fatto io.
- Stato