Fuzzing Web Silencioso en JavaScript
Detalles
En un entorno real de seguridad, un atacante no solo tiene que encontrar vulnerabilidades, sino también hacerlo sin ser detectado. Para ello es bueno usar sistemas defensivos reales como IDS, IPS o EDR junto con máquinas man-in-the-middle diseñadas para vigilar el tráfico atacante.
El resultado suele ser frustrante porque incluso en la fase más temprana de reconocimiento, las alertas saltan casi de inmediato. Escaneos mínimos, peticiones repetitivas o patrones ligeramente anómalos son suficientes para que todos los sistemas defensivos detecten al atacante. En un escenario así, continuar un análisis resulta prácticamente imposible.
Para hacer frente a este problema, es necesario idear técnicas de fuzzing solencioso que permitan
descubrir la superficie de ataque sin levantar sospechas.
De esta investigación personal nace Invisible Fuzz, una herramienta desarrollada en JavaScript que permite:
- Analizar la superficie de ataque de aplicaciones web
- Evaluar la eficacia de los sistemas defensivos
- Realizar fuzzing camuflando el tráfico como tráfico legítimo
La clave no está en aplicar técnicas complejas ni de magia negra, sino en algo mucho más simple y poderoso: aplicar estadística al comportamiento del tráfico.
A lo largo de esta charla presentaremos Invisible Fuzz, explicando los algoritmos estadísticos que utiliza y mostrando cómo es posible evadir mecanismos de detección automatizados por medio del ajuste de patrones de velocidad, concurrencia y distribución temporal de las peticiones.
Sobre el Speaker:
Adrián Ferreres Esteller es un profesional del sector IT con una sólida trayectoria técnica. Actualmente trabaja en BBVA como experto en devops y en los últimos dos años, ha centrado su investigación en la ciberseguridad ofensiva y técnicas de Red Team, explorando técnicas de evasión de defensas en entornos controlados. Motivado por la dificultad de realizar pentesting sin ser detectado, en los dos últimos años se ha centrado en investigar el diseño de técnicas para camuflar el tráfico de ataque. Fruto de este trabajo nace Invisible Fuzz, que en esta ocasión nos viene a presentar.