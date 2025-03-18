Windows Defender Application Control (WDAC) es una solución de seguridad que restringe la ejecución a software de confianza. Dado que se clasifica como un límite de seguridad, Microsoft ofrece recompensas por la detección de errores que permitan eludirlo, lo que lo convierte en un campo de investigación activo y competitivo.
Resultados típicos de un envío de recompensas por errores de omisión de WDAC:
Al echar un vistazo a la lista de bloqueos recomendados por la WDAC de Microsoft, vemos que leyendas como Jimmy Bayne (@bohops) y Casey Smith (@subTee) han descubierto derivaciones del WDAC que siguen sin solucionarse, pero que han recibido menciones honoríficas. Además de esta lista, el LOLBAS Project contiene omisiones adicionales no corregidas que no se han reconocido en la lista de bloqueo de Microsoft. Un ejemplo es la aplicación Microsoft Teams, que sigue siendo una omisión viable de WDAC a pesar de estar documentada en LOLBAS.
Cuando nos encontramos con WDAC durante las operaciones del equipo rojo, lo omitimos con éxito y ejecutamos nuestra carga útil de comando y control (C2) de la etapa 2 utilizando las siguientes técnicas:
1. Use un LOLBIN conocido como MSBuild.exe
2. Cargue lateralmente una aplicación de confianza con una DLL que no sea de confianza
3. Explote la regla de exclusión personalizada de la política de WDAC del cliente
4. Encuentre una nueva cadena de ejecución en una aplicación de confianza que permita la implementación de C2
Como explicó Ruben Boonen (@FuzzySec) en su charla Statikk Shiv: Leveraging Electron Applications for Post-Exploitation (Statikk Shiv: aprovechamiento de las aplicaciones Electron para la postexplotación) en el Wild West Hackin’ Fest, las aplicaciones Electron funcionan como navegadores web que representan aplicaciones de escritorio utilizando tecnologías web estándar como HTML, JavaScript y CSS. El motor JavaScript en Electron es Node.js, que proporciona potentes API capaces de interactuar con el sistema operativo anfitrión. Estas API permiten acciones como leer y escribir archivos, ejecutar programas y otras operaciones típicas de las aplicaciones nativas.
En tiempo de ejecución, una aplicación Electron lee archivos JavaScript, interpreta su código y los ejecuta dentro del proceso Electron. La animación siguiente muestra cómo la aplicación Microsoft Teams Electron lee un archivo JavaScript en tiempo de ejecución, que luego utiliza el módulo child_process para ejecutar whoami.exe.
En este ejemplo, el proceso Teams Electron lee el archivo JavaScript, que a continuación genera whoami.exe utilizando el módulo child_process. Este módulo activa el proceso Electron para ejecutar su API exportada uv_spawn, responsable de interactuar con el sistema operativo para crear un nuevo proceso.
La arquitectura tradicional de una aplicación de Windows consiste en:
El EXE llama a las funciones exportadas desde las DLL para ampliar sus capacidades. Sin embargo, las aplicaciones Electron invierten esta arquitectura. En lugar de que el EXE llame a las API desde las DLL, el propio Electron EXE expone las exportaciones de API, que son llamadas por:
Esta estructura permite que Node.js y los módulos de Node interactúen con el sistema operativo de formas que el JavaScript tradicional en un navegador no puede.
En la imagen de abajo examinamos la aplicación Teams Electron usando PE Bear, una herramienta increíble creada por @hasherezade, que revela que el ejecutable de Teams Electron contiene 2977 API exportadas. Esta gran superficie de API proporciona una amplia funcionalidad que los archivos JavaScript de Node.js y los módulos de Node.js pueden aprovechar para interactuar con el sistema operativo.
Dado que las aplicaciones Electron ejecutan JavaScript en tiempo de ejecución, la modificación de estos archivos JavaScript permite a los atacantes inyectar código Node.js arbitrario en el proceso Electron. Aprovechando las API de Node.js y Chromium, el código JavaScript puede interactuar con el sistema operativo.
No descubrí la posibilidad de modificar los archivos JavaScript de aplicaciones Electron de confianza para ejecutar código JavaScript Node.js arbitrario. Las primeras referencias que puedo encontrar datan de 2022.
A principios de 2022, Andrew Kisliakov publicó el blog "Microsoft Teams and other Electron Apps as LOLbins ". Andrew y @mrd0x contribuyeron con sus hallazgos al proyecto LOLBAS.
Más adelante, en 2022, Valentina Palmiotti (@chompie1337), Ellis Springe (@knavesec) y Ruben exploraron más a fondo este enfoque, lo que llevó al desarrollo de una herramienta interna de persistencia que desde entonces se ha utilizado en operaciones de equipos rojos.
También en 2022, Michael Taggart lanzó el proyecto quASAR, una herramienta diseñada para modificar aplicaciones Electron para permitir la ejecución de comandos. En su blog "Quasar: Compromising Electron Apps", compartió que en septiembre de 2022, un miembro del proyecto Electron se puso en contacto con él y le dijo que la comprobación de integridad era una característica experimental y que, con suerte, recibiría pleno apoyo en el futuro.
Tras experimentar personalmente con aplicaciones más recientes de Electron como Signal, he confirmado que ahora existen comprobaciones de integridad para algunas aplicaciones de Electron que impiden que sus archivos JavaScript sean modificados. Aun así, muchas aplicaciones Electron distribuidas activamente siguen siendo vulnerables.
Esta técnica también se ha observado en ataques del mundo real. En 2022, un actor de amenazas hizo una puerta trasera a la aplicación de chat MiMi modificando sus archivos JavaScript incluidos en el servidor de distribución. Trend Micro identificó esto como un ataque a la cadena de suministro, en el que la aplicación Electron comprometida se distribuyó a los usuarios finales, lo que permitió la ejecución de código JavaScript malicioso que descargó y ejecutó una carga útil C2 de segunda etapa.
En abril de 2024, Bobby Cooke (@0xBoku) buscaba una nueva cadena de ejecución para preparar una próxima operación de equipo rojo para un cliente del sector financiero. Este sector tiene normas de seguridad más estrictas y reglamentos más rigurosos, por lo que a menudo aplica controles de seguridad adicionales como el WDAC. Durante mi investigación, me encontré con otra aplicación vulnerable de Electron. Sin embargo, como no estaba firmado por Microsoft, era poco probable que se saltara la política WDAC del cliente.
Luego me pasé a la aplicación heredada de Microsoft Teams, que está firmada por Microsoft y puede eludir incluso las políticas WDAC más estrictas. En ese momento, Dylan Tran (@d_tranman) se unió a mí en esta misión, y empezamos a buscar una forma de escalar de una ejecución arbitraria Node.js en JavaScript a ejecutar nuestro shellcode C2 de etapa 2.
Aunque Node.js puede interactuar con el sistema operativo a través de sus API, carece de la funcionalidad completa de C, donde los desarrolladores pueden llamar directamente a WINAPI y NTAPI. Para cerrar esta brecha, los desarrolladores crearon módulos de nodo, que amplían las capacidades del marco de Node.js. Estos módulos, compilados a partir de código C++, pueden llamar a WINAPI, interactuar con las API de Node.js y ejecutar JavaScript dentro de las aplicaciones de Electron. Los módulos de nodo compilados tienen una extensión .node y se cargan en los procesos de Windows mediante un evento de carga DLL.
Durante nuestra investigación, examinamos varias aplicaciones de Electron y analizamos sus módulos de nodo firmados. Descubrimos que se podía interactuar con estos módulos directamente desde JavaScript, lo que nos permitía aprovechar sus capacidades integradas.
Si bien crear nuestros propios módulos de nodo personalizados para ejecutar shellcode es un enfoque viable y es una capacidad de Loki C2, presenta un problema del huevo y la gallina. La carga de un módulo de nodo desde JavaScript desencadena un evento de carga de DLL, que puede ser bloqueado por políticas WDAC que aplican reglas estrictas contra DLL no firmadas. Afortunadamente, existen un gran número de módulos de nodo firmados en aplicaciones legítimas de Electron.
Este enfoque para ejecutar nuestra carga útil parecía prometedor, así que compartimos nuestros hallazgos con Valentina y ella se unió a nosotros en esta búsqueda. Con su ayuda, nos sumergimos en la anulación de los módulos de nodo firmados y en la búsqueda de vulnerabilidades o capacidades que nos permitieran ejecutar código shell arbitrario.
Un ejemplo de módulo de nodo con capacidades útiles es windows_process_tree.node, un módulo firmado por Microsoft que se incluye con Visual Studio Code. Cuando se examina en PE Bear, revela dos funciones exportadas, como se ve a continuación.
A diferencia de las DLL tradicionales, los módulos Node no listan todas sus funciones disponibles en la tabla de exportación. El proceso Electron llama a la función exportada napi_register_module_v1 y es responsable de cargar el módulo y exponer su funcionalidad exportada al proceso Electron. Esto actúa como un puente, permitiendo que JavaScript dentro del proceso Electron llame e interactúe con las funciones del módulo.
Una forma trivial de enumerar todas las funciones invocables en un módulo Node es aprovechar el código Node.js a continuación.
Al ejecutar este script de Node.js en PowerShell, vemos que hay dos funciones invocables en windows_process_tree.node. Son getProcessList y getProcessCpuUsage.
Con persistencia, es posible determinar cómo llamar a estas funciones desde JavaScript. Una limitación de Node.js es que carece de una API integrada para enumerar todos los procesos en ejecución en el sistema. Esta limitación es la razón por la que Microsoft introdujo la función getProcessList dentro de este módulo, ampliando las capacidades de la aplicación VS Code Electron.
Es posible recuperar esta información directamente en JavaScript utilizando el módulo child_process para ejecutar PowerShell en un proceso hijo, que devuelve detalles sobre los procesos en ejecución. En la imagen inferior, Loki C2 genera un proceso hijo PowerShell para recuperar la lista de procesos.
Este enfoque presenta importantes riesgos de seguridad operativa. La ejecución de procesos secundarios de PowerShell es altamente detectable y aumenta la probabilidad de que una operación se marque o queme. Para evitar esto, Loki C2 aprovecha módulos de nodo firmados como windows_process_tree.node para ampliar las capacidades de Node.js.
Loki C2 incluye el comando ps, que recupera la información del proceso cargando en el módulo windows_process_tree.node firmado por Microsoft y llamando a la función getProcessList, como se ve en la imagen de abajo.
El código JavaScript Loki C2 que llama a la función getProcessList en el módulo windows_process_tree.node se muestra a continuación. getProcessList devuelve los datos del proceso en formato JSON, que Loki C2 formatea en una tabla estructurada para mejorar la legibilidad.
Determinar cómo llamar correctamente a funciones dentro de los módulos de nodo puede ser complicado, ya que sus estructuras internas no están documentadas. Sin embargo, mediante el uso de herramientas como Ghidra, desarrollada por la NSA, y la colaboración con ingenieros inversos expertos como Valentina, hemos analizado con éxito estos módulos e identificado cómo interactuar con sus funciones.
Valentina finalmente descubrió una forma de ejecutar nuestro shellcode C2 de la etapa 2 sin cargar un archivo DLL sin firmar, pero dejaré que ella revele los detalles. Juntos, Dylan, Valentina y yo trabajamos en perfeccionar la técnica para garantizar la estabilidad de la próxima campaña de phishing.
Lamentablemente, nuestra campaña inicial de phishing por correo electrónico fue denunciada y bloqueada por el equipo azul. Tras este revés, Brett Hawkins (@h4wkst3r) y yo empezamos a preparar una segunda campaña. Como encargado de la carga útil, no quería reutilizar la misma carga; hacerlo habría hecho que fuera demasiado fácil para el equipo azul rastrearnos y detener nuestra segunda campaña. Sin embargo, no tuvimos tiempo suficiente para aplicar la técnica de Valentina a una nueva carga útil, así que empecé a desarrollar una nueva carga útil con un enfoque alternativo.
Normalmente, la capacidad de ejecutar JavaScript arbitrario en aplicaciones Electron de confianza se utiliza para ejecutar comandos que implementan un agente C2. Sin embargo, sin la técnica de Valentina, este enfoque no funcionaría contra el WDAC, ya que, en última instancia, requeriría ejecutar un programa sin firmar, que probablemente se bloquearía.
Con solo unos días para preparar la segunda campaña, se me ocurrió una idea: ¿Y si construyera todo un marco C2 en JavaScript?
Si el propio agente de C2 estuviera escrito enteramente en JavaScript, podría establecer un canal de C2 incluso en contra de las políticas más estrictas de la WDAC. Desde allí, se podía realizar reconocimiento para encontrar la forma de implementar una carga útil C2 de la etapa 2. No habría eventos de carga de DLL sin firma, solo JavaScript ejecutándose dentro del proceso confiable de Teams.
Todo lo que necesitábamos era suficiente funcionalidad para:
Aprovechando todo el código Node.js que había escrito durante mi investigación, preparé una prueba de concepto C2 de la noche a la mañana. Al día siguiente, lo compartí con Dylan y juntos lo ampliamos rápidamente hasta convertirlo en un C2 totalmente funcional basado en JavaScript. Nuestro C2 era capaz de:
El JavaScript C2, ahora conocido como Loki C2, fue un éxito en la segunda campaña. Desde entonces, hemos seguido perfeccionando y ampliando Loki C2, añadiendo más características, aumentando la estabilidad y mejorando capacidades.
Con todo el conocimiento de Electron que obtuve de esta investigación, construí una interfaz gráfica de usuario para Loki C2 utilizando el marco Electron.
En el siguiente vídeo, demuestro eludir una estricta política WDAC con Loki C2. Las dos secciones siguientes explican lo que sucede en el vídeo.
Para esta demostración, WDAC se implementa a través de la aplicación de políticas de control de aplicaciones en una instancia EC2 de Windows Server 2025 actualizada en AWS. El asistente proporciona tres plantillas de políticas básicas:
El modo predeterminado de Windows es el más estricto y permite la ejecución de:
En la demostración, se selecciona la política Modo de Windows predeterminado. El modo de auditoría predeterminado está deshabilitado para que WDAC aplique la política de inmediato. Además, se marcan las opciones Fusionar con listas de bloqueo recomendadas, que incluyen las reglas de la lista de bloqueo WDAC recomendada de Microsoft. El asistente de control de aplicaciones genera un archivo XML y CIP para la política WDAC, que luego se implementa en el servidor mediante CITool.exe.
Una vez que WDAC está activo, intento ejecutar Loki C2 Agent.exe, pero WDAC lo bloquea, ya que el ejecutable no está firmado por Microsoft.
Para eludir esta restricción, copio el contenido del directorio /resources/app/ de Loki Agent. Hay una carpeta llamada "teams" en el escritorio, que contiene una aplicación heredada de Microsoft Teams. Ver las propiedades de Teams.exe confirma que está firmado por Microsoft.
A continuación, navego hasta el directorio /resources/ de la aplicación Teams y elimino todos los archivos existentes. Una vez despejado, pego el directorio /resources/app/ del Agente Loki C2 previamente copiado en ~/Desktop/teams/resources/app/.
Con esta modificación, ejecuto Teams.exe haciendo clic en él. Dado que el ejecutable de Teams está firmado por Microsoft, WDAC no lo bloquea. En System Informer, podemos ver que el proceso de Teams se crea correctamente sin la intervención de WDAC. Sin embargo, como he sustituido el directorio Teams /resources/app/ por el código de Loki C2 Agent, la aplicación Teams basada en Electron ahora ejecuta el JavaScript de Loki C2 Agent dentro del proceso de confianza de Teams.
El proceso de Teams vuelve a llamar con éxito al cliente Loki C2 y ejecuto varios comandos para demostrar el control remoto del servidor comprometido.
Después de obtener acceso inicial con Loki C2, hemos identificado varias formas de ejecutar un agente C2 de etapa 2 más capaz, como Dragon, el C2 interno desarrollado por Shawn Jones (@anthemtotheego) y yo. Aunque no se revelarán en esta publicación todos los diferentes métodos de escalada que hemos descubierto desde la creación inicial de Loki C2, planeamos cubrirlos en futuras versiones.
Cuando se implementa correctamente, esta técnica sigue evitando las soluciones de EDR (detección y respuesta de endpoints) de primer nivel. Sin embargo, sin un C2 de fase 2 sigiloso, los operadores deben confiar en la ejecución de comandos a través de spawn, que ejecuta los comandos en los procesos secundarios. Esto activará rápidamente las detecciones posteriores a la explotación contra los principales EDR.
Loki C2 se alinea con la técnica MITRE ATT&CK T1218.011 - System Binary Proxy Execution: Electron Applications.
Después de buscar en Internet, no he encontrado esta técnica de vaciar aplicaciones Electron y sustituir su código por un C2 divulgado públicamente o utilizado en la práctica. Sin embargo, después de compartir Loki C2 con equipos rojos de confianza, uno ha confirmado que han desarrollado capacidades similares internamente.
Incluso con un TTP MITRE ATT&CK, múltiples publicaciones de investigación y una entrada LOLBAS, esta técnica de vaciado de aplicaciones Electron sigue sin ser detectada. Supongo que las soluciones EDR no se centran en detectar esto sino en los indicadores posteriores a la explotación, como la generación de procesos secundarios para ejecutar comandos. Dado que hemos desarrollado métodos para implementar C2 de etapa 2 evitando estas detecciones comunes posteriores a la explotación, hemos utilizado con éxito esta técnica en múltiples interacciones evitando la detección.
Con todo esto en mente, la próxima vez que escuche a un proveedor afirmar "100 % de cobertura MITRE", vale la pena preguntarse qué significa realmente...
