Existen muchas aplicaciones hoy en día que utilizan Electron Framework, ya que lo ayuda a crear aplicaciones de escritorio multiplataforma con JavaScript, HTML y CSS. Algunos ejemplos son aplicaciones como Skype, Station, etc. Un nuevo marco de trabajo posterior a la explotación : BEEMKA ahora puede ayudarlo a mantener el acceso y la exfiltración.
¿Qué es BEEMKA?
BEEMKA es un marco modular posterior a la explotación que le ayuda a aprovechar las debilidades en el marco electrónico para permitirle inyectar código malicioso dentro de una aplicación legítima a través de un archivo .asar.
¿Cuáles son las ventajas de este enfoque que puede pedir? Bueno, considere esta situación en la que ya tiene un punto de apoyo en el sistema, que tiene instalada una solución AV genérica. No desea grabar su implante personalizado y sus intentos anteriores de inyectar código, etc., han fallado. Ahora puede usar BEEMKA y tener la seguridad de que la solución AV genérica no marcará esta intrusión, ya que en este caso no existe una inyección de código estándar. El marco electrónico real ni siquiera está modificado. Lo que se modifica es un. archivo asar . Un archivo .asar de Electron es un formato de archivo extenso y simple, funciona como tar que concatena todos los archivos sin compresión, mientras que tiene soporte de acceso aleatorio. ¡Lo más importante es que el archivo no está cifrado, ofuscado, firmado ni protegido de ninguna manera!
Si abre el archivo electron.asar con 7zip, puede ver el contenido del archivo. Incluye varios archivos JavaScript entre otros códigos. Si desea utilizar el marco de Electron en sí mismo, también lo ayuda al proporcionar:
asar extract electron.asar ./electron
De todo el código, BEEMKA modifica un único archivo importante del archivo .asar. Este archivo le permite enlazar a una serie de eventos que se aprovechan para inyectar código. El archivo es:
./electron/browser/chrome-extension.js
Luego, la aplicación carga este archivo electron.asar para realizar sus ofertas maliciosas, como el registro de teclas, la apertura de un shell inverso, etc.
Módulos proporcionados por BEEMKA:
- Módulo de captura de pantalla
- Módulo de shell inverso basado en PowerShell
- Módulo de shell inversa de Linux
- Módulo de keylogging
- Módulo de cámara web
Una ventaja de usar BEEMKA sobre otros métodos es que no se modifican los binarios nativos del sistema. Además, esto es multiplataforma y todo esto se realiza sin métodos de inyección de memoria, ¡posiblemente evitando el análisis antivirus!
Descargar BEEMKA:
El proyecto está escrito en Python3 y necesita jsmin además. Puedes revisar BEEMKA 0.1 desde su repositorio GIT ejecutando:
git clone https://github.com/ctxis/beemka
cd beemka && pip3 install -r requirements.txt
Una vez hecho esto, puede ejecutar lo siguiente:
python3 beemka.py --inject --module keylogger --asar "VICTIM_ELECTRON.ASAR" --output "IMPLANT.ASAR"
Fuente: pentestit.com
