MAAS - Malware As A Service

В продолжении темы Red Teaming инфраструктуры, хочу поделиться мыслями относительно применения автоматизации для создания и кастомизации полезной нагрузки в лучших традициях DevOps??. Ни для кого не секрет, что malware development - это отдельная область компетенций в наборе навыков участников команды и далеко не каждый Red Team оператор всегда является разработчиком ПО, способного обеспечивать требования evasion для обхода защитных решений. Поэтому в последнее время на Западе набирает обороты концепция Offensive Security Tooling as a Service, когда разработку и кастомизацию инструментария берут на себя выделенные команды на аутсорсе, например, по этой модели работают MDSec и Outflank. В нашей стране об использовании подобной практики я не слышал, так как это скорее всего требует особой лицензии ФСТЭК сомнительно с точки зрения законодательства.

Поэтому можно призвать на помощь ChatGPT Python и построить собственный лунапарк с CI/CD и контейнерами или использовать проекты с открытым исходным кодом - MAAS (Malware As A Service) от Joff Thyer из BHIS.
MAAS - это инструмент создания пайпланов автоматизации для генерации пейлоадов с использованием методов затруднения сигнатурного анализа (encryption, obfuscation и пр.) с помощью Gitlab Runners. В текущей версии представляет собой docker-контейнеры сo ScareCrow и Garble под управлением docker swarm для создания и обфускации полезной нагрузки в форматах exe/dll (managed/unmanaged), rdll, xll и упаковки в Click Once и MSIX/APPX. Крутится это все должно на виртуалках Ubuntu 22.04.3 с 40GB RAM, 8xCPU Cores, 100GB и Windows с 32GB RAM, 4xCPU Cores, 100GB
Доклад автора можно посмотреть по ссылке (продолжительность ~ 80 мин). Слайды презентации доступны по этой ссылке.

Таким образом, инструмент представляет собой по сути фреймворк, который можно адаптировать под необходимую функциональность. На данный момент в процессе тестирования, в следующих постах расскажу более подробно про свой опыт использования.

#malware_development #MAAS #red_team_infra