Fireaway, herramienta para evadir firewalls de nueva generación

Fireaway es una herramienta escrita en Python para auditar, bypassear y exfiltrar datos contra las reglas de inspección de capa 7/AppID en firewalls de próxima generación o NGFW. Sus tácticas se basan en el principio de tener que permitir que las conexiones se establezcan a través del NGFW para ver los datos de capa 7 a filtrar, comportándose como aplicaciones falsas que intentan ocultar canales de comunicación dentro de los logs del firewall como si fueran tráfico normal de usuario, como navegación hacia Internet.

Inicio del servidor FireAway: Normalmente, el servidor FireAway se iniciará fuera del perímetro del firewall (como cualquier servidor en Internet) y escuchará en un puerto que se cree cerrado para ver si alguna regla basada en aplicaciones permite el tráfico en este puerto:

python fa_server.py

Todos los datos recibidos por el servidor en ese puerto se guardarán en el archivo ReceivedData.txt del directorio donde se inició el servidor. Si el servidor detecta diferentes tamaños en la suma de los datos recibidos (indicando que se ha iniciado el filtrado del firewall), esta salida se mostrará en la consola del servidor:

Got the same or lower amount of data on two consecutive runs.  If sending test data, maximum data leak size may have been reached.

Inicio del cliente FireAway / Application Spoofer: El cliente FireAway tiene dos modos:

– Modo de prueba (modo 0): envía datos aleatorios dentro de trozos (chunks) que va incrementando para ver cuántos datos se pueden enviar antes de que el AppID del cortafuegos funcione y detenga el flujo de tráfico.

– Modo Exfiltración (modo 1): abre un archivo y lo envía fragmentado a través del cortafuegos.

Para iniciar el cliente básico:

python fa_client.py

Para iniciar el cliente de suplantación de aplicaciones:

python fa_spoof.py

El spoofing de aplicaciones insertará aleatoriamente encabezados HTTP con los trozos de datos para contaminar los registros con varias aplicaciones con el fin de enmascarar la exfiltración de datos.

Descarga Fireaway: https://github.com/tcstool/fireaway

Leave a Reply

%d bloggers like this: