Jugando con Microsoft Office, powershell y batch | Malware

 

Me encontraba yo ayer, en medio de una apasionante clase de gestión empresarial para la cual llego un momento en que necesitaba el Excel, y al abrirlo… Sorpresa! Licencia caducada ;( Comencé a buscar en internet seriales y entre los primeros resultados, descargue un word, total, es un word, que puede salir mal, seguramente este el serial dentro para evitar que google lo indexe, pensé, nada fuera de lo normal.

Pero no, en la jungla que es internet pocas cosas son lo que parecen.

Al abrir el archivo, me encuentro una frase invitándome a hacer click en un supuesto PDF que contendría los seriales, seriales.PDF.bat, evidentemente era “malware”.

No era malware sofisticado, nada especial, el tipico bucle infinito de abrir un proceso, en ese caso la calculadora.

Pero esto me dio la idea, supongo que ni mucho menos seré el primero en escribir sobre esto, pero nunca esta de mas estudiar los vectores de infección para aprender a protegerse.

Dicho esto, empecemos con la parte divertida.

Para esta POC voy a usar una tool que desarrolle hace algo mas de un mes y que puede ser descargada aqui

564cec2406b8203f5c7b651f8044d402

Voy a explicar un poco por encima lo que esta herramienta hace:

Básicamente crea un downloader, el payload que genera es .bat y hace uso de powershell, por tanto funciona de windows vista en adelante sin ningún tipo de problema de compatibilidad; ademas los payloads generados solo tienen una similitud del 21%, esta similitud esta de hecho en los parametros que recibe powershell como opciones de ejecución, por tanto la colocación de una firma en esta zona generaría infinidad de falsos positivos, quizás eso explique que siendo algo publico desde hace mas de un mes l0s antivirus miren al mar cuando lo analizan.

3aa4e2a841b21873e3638cd352f27fe7

Dicho esto, vamos a aprovecharnos de la posibilidad de insertar objetos OLE en documentos de office, para el ejemplo usare Word en la version 2010.

El procedimiento es muy simple

  1. – Nuevo archivo
  2. – Insertar
  3. – Objeto
  4. – Crear desde un archivo
  5. – Examinar y seleccionamos el archivo bat que hemos creado, posteriormente elegimos el icono que mas nos convezca.

El resultado final seria este:

Como veis lo de .pdf.bat es mas falso que una moneda de 3 euros, pero de eso nos ocuparemos mas tarde…

Ahora que ya tenemos nuestro word malicioso creado, vamos a ver si las empresas de seguridad han hecho su trabajo…

<Irony>Vaya, sorpresa, no detectan nada :O </Irony>

La parte buena de esto es que al intentar ejecutar el objeto embebido windows nos pregunta si estamos seguros de que queremos ejecutar el archivo

La parte menos buena de esto? Que si ya le has dado a abrir no te vas a parar ni a leerlo.

La peor parte? Que esa ventana es el Zone ID y que se puede bypassear muy fácilmente tal que asi

Ahora vamos a optimizar esto, para ello bindearemos un pdf con los seriales a nuestro downloader, para que al hacer doble click en el word se ejecuten ambas cosas y que no sea tan cantoso. Luego haremos algo de magia para que nos quede algo asi… (omito este paso para evitar la reproducción exacta por parte de personas con oscuras intenciones :S)

Por ultimo, repetimos el mismo proceso que antes para que nos quede de este modo:

Ahora si da mas el pego que antes, tras el doble click en el icono:

Eso es todo.

Hasta la próxima 😀

 

Anuncios

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s