Descripción de la Tecnica
Stripped Payloads es una técnica utilizada por actores maliciosos para dificultar el análisis de payloads mediante la eliminación de símbolos, cadenas y otras informaciones legibles para humanos. Al remover estos elementos, los atacantes intentan hacer que los scripts o ejecutables sean más difíciles de desensamblar o analizar por parte de ingenieros reversa.
Esta práctica es común en payloads compilados, donde los símbolos son generados por el linker del sistema operativo durante la compilación. Estas entidades suelen ser útiles para desarrolladores para documentar funciones o identificar componentes dentro de un binario. Al "striper" estos elementos, los adversarios hacen que el código sea más oscuro y menos accesible para análisis manual.
Como Funciona
La técnica funciona mediante la eliminación deliberada de metadatos y estructuras legibles en archivos ejecutables o scripts. Durante la compilación, los símbolos (como nombres de variables o cadenas de documentación) son incluidos en el binario. Al "striper" estos elementos, se elimina información que normalmente ayudaría a identificar la funcionalidad del código.
En el caso de payloads compilados en lenguajes como Go (como mencionado en la cita), los símbolos pueden ser removidos durante el proceso de enlace, lo que dificulta su análisis por parte de ingenieros reversa. Esto es especialmente útil para evadir detección basada en análisis heurístico o automático.
Actores que la Utilizan
Esta técnica está asociada con actores maliciosos que buscan obfuscar payloads durante operaciones de ataque. Según los datos proporcionados, se menciona un caso relacionado con Mandiant en el contexto de binarios Golang estripped. Sin embargo, no se especifican nombres de grupos o organizaciones en este contexto.
El uso de esta técnica es común en ataques que implican la inyección de código malicioso en sistemas con acceso a procesos o archivos ejecutables, donde la obfuscación es un paso crítico para evitar detección por parte de herramientas de análisis automático.
Detección
La detección de payloads estripped requiere el análisis detallado de los binarios o scripts. Herramientas como objdump, IDAPro o Ghidra pueden ayudar a identificar la ausencia de símbolos o cadenas esperadas en un binario normal.
Un signo de alerta es la falta de información legible en el código, como nombres de variables o comentarios dentro del código. Esto puede indicar que el payload fue procesado para eliminar elementos de documentación durante su compilandía o enlace.
Indicadores de Compromiso (IOCs)
No hay Indicadores de Compromiso publicos disponibles.
Mitigación
Para mitigar el riesgo asociado a payloads estripped, se recomienda implementar controles estrictos sobre la firma y verificación de archivos ejecutables. Además, el uso de herramientas de análisis automático que puedan detectar anomalías en los símbolos o cadenas presentes en binarios es crucial.
Se sugiere monitorear comportamientos anómalos en sistemas que procesen código no verificado, especialmente aquellos que involucran la ejecución de scripts o payloads en entornos no controlados. La documentación y auditoría regular de los procesos de análisis de código también son medidas preventivas efectivas.