CloakifyFactory transforma cualquier tipo de archivo (por ejemplo, .zip, .exe, .xls, etc.) en una lista de cadenas de aspecto inofensivo. Esto te permite ocultar el archivo a simple vista y transferir el archivo sin activar alertas. Esta herramienta de “esteganografía basada en texto“, permite ocultar los datos haciéndolos parecerse a otros datos. Los archivos ocultos (Cloaked) derrotan las herramientas de detección de malware basadas en firmas.
Aquí aprenderás cómo un intruso puede exfiltrar datos a través del enfoque de esteganografía. Empecemos…
1. Instalar Cloakify
Sólo tienes que escribir los siguientes comandos para descargar cloakify de GitHub en la máquina de destino.
git clone https://github.com/TryCatchHCF/Cloakify.git
cd Cloakify
chmod -R 777 noiseTools
Vamos a ejecutar el script python (se requiere Python 2.7.x) para lanzar cloakifyfactory.py
python cloakifyFactory.py
2. Usar Cloakify en Linux
CloakifyFactory es una herramienta basada en menús que aprovecha los scripts de Cloakify Toolset. Cuando elige Ocultar/Cloakify un archivo, los scripts primero codifican la carga útil (payload) de Base64, luego aplican un cifrado para generar una lista de cadenas que codifican la carga útil de Base64. A continuación, transfiere el fichero como desees a su destino deseado. Una vez exfiltrada, elige Desocultar/Decloakify con el mismo cifrado para decodificar la carga útil.
Tomemos un ejemplo ahora que queremos copiar un archivo de texto “geek.txt
” desde el sistema de destino que contiene las credenciales de inicio de sesión de diferentes máquinas de la red.
2.1. Método I: Menú contextual
Puede ser peligroso copiar el archivo de texto directamente, por lo que transformaremos los datos del archivo de entrada en otro archivo como salida. Para ello, sigue los pasos que se indican a continuación:
- Ejecuta el script python para ejecutar
cloakifyfactory.py
- Presiona
1
para seleccionar la opciónCloakify a File
- Introduce la vía de acceso del fichero fuente que deseas transformar en un fichero de entrada. (Para el ejemplo, el archivo se ubica en
/root/Escritorio/geek.txt
)
- Introduce la ruta del archivo de destino en el que deseas guardar la salida. (Para el ejemplo,
resultado.txt
) - Luego, obtendrá una lista de cifrado, elige la opción deseada para cifrar el archivo. Supongamos que quiero que todo el contenido se transforme en emojis faciales. Presiona
22
para el cifradoemoji
.
- Permite
Add noise to cloaked file
pulsandoY
para aceptar. - A continuación, pulsa
2
para seleccionarprependEmoji.py
comonoise generator
. - Esto guardará el resultado de la salida dentro del archivo
resultado.txt
.
Como resultado, obtendrás el contenido de salida como se muestra en la siguiente imagen.
¿El resultado utiliza la fuente de emoji en blanco y negro, y no, los emoji de color? Aquí la solución:
sudo apt install fonts-noto-color-emoji
Ahora si quieres obtener el resultado de salida en su formato original, entonces puedes ir con la opción decloakify
que revertirá la transformación a su existencia original, pero antes de eso, tienes que dar todos los permisos a removeNoise.py
.
chmod 777 removeNoise.py
Para ello, sigue los pasos que se indican a continuación:
- Ejecute el script python para ejecutar
cloakifyfactory.py
- Presiona
2
para seleccionar la opciónDecloakify a File
- Introduce la ruta del archivo que deseas restaurar en su formato original.
- Introduce la vía de acceso del fichero en el que deseas grabar la salida.
- Pulsa
Y
para responder sí porque hemos añadidonoise
al archivocloaked
y seleccionamos el generador denoise
,prependEmoji.py
.
2.2. Método II: Comando directo
Una vez más, tenemos un archivo similar que queremos encubrir en otro formato directamente sin operar la consola de cloakifyfactory.
Esta vez puedes utilizar un solo comando para encubrir el archivo añadiendo el tipo de cifrado específico como se indica a continuación:
python cloakify.py <ruta/archivo> ciphers/<tipo_cifrado>
python cloakify.py /root/Escritorio/geek.txt ciphers/starTrek
Después de ejecutar el comando anterior, podemos observar que el resultado de la salida sería algo así como se muestra en la siguiente imagen.
Ahora, mira cómo he utilizado el resultado.txt
como archivo de destino para guardar la información transformada dentro de él sin imprimir el resultado en la pantalla.
python cloakify.py /root/Escritorio/geek.txt ciphers/starTrek > /root/Escritorio/resultado.txt
Así mismo, podemos utilizar el comando decloak
(del archivo decloakify.py
) para revertir el archivo transformado a su estado original.
python decloakify.py /root/Escritorio/resultado.txt ciphers/starTrek
3. Conclusión
cloakify-factory podría ser muy útil para la extracción de datos internamente, ya que vimos que tiene muchos scripts cifrados que se utilizan para el archivo de datos encubiertos y, por lo tanto, es una herramienta muy eficaz para realizar esteganografía basada en texto.
- A propósito de esteganografía, mira Steghide: Esteganografía para ocultar datos en Imágenes
- Además, Las 10 Mejores Herramientas para la Esteganografía
¿Te ha gustado este artículo? ¡Da clic aquí por favor! Sígue este blog en su fanpage de Facebook, Twitter, Instagram y/o YouTube para que no te pierdas del mejor contenido informático y hacking!