GoffLoader: ¿Dolor de cabeza o el nuevo favorito de los pentester?

Praetorian, una compañía de seguridad, ha lanzado GoffLoader , una herramienta que facilita la ejecución de archivos BOF y PE no administrados de Cobalt Strike directamente en memoria sin escribir ningún archivo en el disco.

GoffLoader es una implementación limpia en Go de un cargador COFF y PE en memoria. Esta herramienta tiene como objetivo hacer que la funcionalidad tradicionalmente relacionada con C/C++ esté fácilmente disponible para herramientas de seguridad en Golang.

Los desarrolladores de GoffLoader se esforzaron por expandir las capacidades de Go en el campo de la seguridad. Ahora, repositorios completos de funcionalidad útil se vuelven accesibles a través de esta biblioteca. Además, GoffLoader permite evitar las complejidades asociadas con el uso de CGO al integrar código C con Go.

Una de las ventajas de GoffLoader es su potencial para evadir firmas estáticas. Los desarrolladores han ejecutado con éxito una versión incorporada de Mimikatz sin necesidad de aplicar métodos de evasión complejos.

GoffLoader está diseñado para cargar BOF o archivos PE de la manera más sencilla posible utilizando la etiqueta go:embed. Aquí hay un ejemplo de código para ejecutar un archivo ejecutable integrado y mostrar su salida de consola:

goCopyimport "github.com/praetorian-inc/goffloader/src/pe"

//go:embed hello.exe

var helloBytes []byte

func main() {

output, _ := pe.RunExecutable(helloBytes, []string{"Arg1", "Arg2", "Arg3"})

fmt.Println(output)

}

Puedes encontrar ejemplos completos de ejecución de BOF o archivos PE en la carpeta cmd del repositorio de GitHub. La capacidad de ejecutar archivos PE se implementa utilizando No-Consolation BOF.

A pesar de sus ventajas, GoffLoader tiene algunas limitaciones. Actualmente, la implementación de COFFLoader solo admite la arquitectura x64, pero se planea agregar soporte para sistemas de 32 bits en un futuro próximo. La ejecución de PE incluye actualmente la carga de BOF con argumentos codificados de forma rígida, pero se espera que en futuras actualizaciones se admitan enfoques más flexibles.

La implementación de la API Beacon* es parcial. Si bien la mayoría de los BOF utilizan solo funciones básicas, como el análisis de argumentos y la salida, aún queda por implementar algunas partes de beacon.h.

Praetorian ha abierto el código fuente de GoffLoader en apoyo de su producto Chariot BAS (Breach & Attack Simulation). La compañía espera que esta nueva herramienta se convierta en un recurso invaluable para los profesionales de seguridad y los entusiastas.

Los desarrolladores expresan su agradecimiento a varios proyectos e individuos cuyo trabajo desempeñó un papel importante en la creación de este nuevo producto, incluido el proyecto go-coff de Ne0nD0g, las publicaciones de blog sobre COFFLoader de TrustedSec y OtterHacker, No-Consolation BOF de Fortra y los desarrolladores de la biblioteca de archivo Go pecoff.