Unitat 3: Ciberseguretat Ofensiva

Xarxes Ofensives
El Punt Feble dels Firewalls

DNS Tunneling, C2 i Canals Encoberts

Introducció

Sabies que un tallafoc pot bloquejar gairebé tot… però no ho pot bloquejar tot? En el món de la ciberseguretat ofensiva, entendre com funcionen els protocols essencials d'Internet és klau per trobar vies d'evasió. Aquesta entrada explora les tècniques utilitzades per saltar-se les restriccions de xarxa i mantenir el control sobre sistemes compromesos.

La Paradoxa del Firewall

Els tallafocs tradicionals basen la seva seguretat en el filtratge per Port, Protocol i IP origen/destí. Aquest model assumeix que si bloquegem els ports perillosos, la xarxa és segura. No obstant això, hi ha serveis que són imprescindibles per al funcionament d'Internet:

DNS (Domain Name System)

Sense resolució de noms, no hi ha navegació web. Per tant, el port 53 (UDP) gairebé sempre està obert cap a l'exterior.

HTTPS (Web Segura)

El tràfic xifrat pel port 443 (TCP) és necessari per a la majoria de l'activitat empresarial.

Aquest és el punt feble: si un servei és imprescindible i permet l'intercanvi de dades, es pot convertir en un canal de comunicació encobert per a un atacant.

Context Curricular (RA2 i RA3)

Aquest concepte és fonamental per entendre la interceptació de tràfic i l'anàlisi de protocols de xarxa en entorns restrictius.

DNS Tunneling: Encapsulació de Tràfic

El DNS Tunneling és una tècnica que permet encapsular altres protocols (com TCP/IP) dins de les consultes i respostes DNS.

1
Fragmentació: Les dades que es volen exfiltrar es divideixen en trossos molt petits.
2
Codificació: Les dades es codifiquen (sovint en Base64 o Hexadecimal).
3
Transmissió: S'envien com a "subdominis" d'un domini controlat per l'atacant (ex: dades-robades.hacker.com).

El tallafoc interpreta això com una consulta legítima per saber la IP d'un domini, però en realitat s'està establint un túnel de comunicació bidireccional.

Command & Control (C2) i "Living off the Land"

Un sistema de Command & Control (C2) és la infraestructura que permet a un atacant enviar ordres a un sistema compromès i rebre'n la resposta.

L'estratègia "Living off the Land" (LotL)

Consisteix a utilitzar eines i serveis que ja existeixen i són de confiança a l'entorn de la víctima, com l'API de Telegram:

  • L'atacant configura un script (malware) que es connecta a l'API de bots de Telegram.
  • El tràfic viatja xifrat per HTTPS (Port 443) cap a dominis legítims com api.telegram.org.
  • Indistingible d'un usuari legítim xatejant.
Context Curricular (RA4)

Aquesta tècnica es relaciona directament amb la consolidació de sistemes compromesos, la persistència i l'establiment de portes del darrere (backdoors).

El Vector Físic: BadUSB

No tots els atacs commencent de manera remota. La confiança implícita que els sistemes operatius tenen en els dispositius HID (Human Interface Device) és una vulnerabilitat explotable.

Dispositius com el USB Rubber Ducky es presenten al sistema com un teclat, saltant-se les restriccions d'antivirus i "teclejant" scripts a velocitat sobrehumana per executar payloads.

Veure guia completa
Context Curricular (RA3)

Això correspon a les tècniques d'accés inicial, demostrant com es pot comprometre un sistema físicament.

Utilitats i Eines

iodine Creació de túnels IPv4 via DNS.
Link
Docker Labos segurs i aïllats.
Link
Wireshark Anàlisi forense de xarxa.
Telegram API Canal de C2 encobert.
Link
USB Rubber Ducky HID Injecció de tecles.
Link
BLEDuck Standalone Injectors amb ESP32-S3.
Link

Resum Final

La seguretat perimetral basada únicament en el bloqueig de ports és insuficient. Cal passar d'una defensa estàtica a una basada en l'anàlisi del comportament i la inspecció profunda de paquets (DPI).