Jugando con Microsoft Office, powershell y batch | Malware

 

Me encontraba yo ayer, en medio de una apasionante clase de gestión empresarial para la cual llego un momento en que necesitaba el Excel, y al abrirlo… Sorpresa! Licencia caducada ;( Comencé a buscar en internet seriales y entre los primeros resultados, descargue un word, total, es un word, que puede salir mal, seguramente este el serial dentro para evitar que google lo indexe, pensé, nada fuera de lo normal.

Pero no, en la jungla que es internet pocas cosas son lo que parecen.

Al abrir el archivo, me encuentro una frase invitándome a hacer click en un supuesto PDF que contendría los seriales, seriales.PDF.bat, evidentemente era “malware”.

No era malware sofisticado, nada especial, el tipico bucle infinito de abrir un proceso, en ese caso la calculadora.

Pero esto me dio la idea, supongo que ni mucho menos seré el primero en escribir sobre esto, pero nunca esta de mas estudiar los vectores de infección para aprender a protegerse.

Dicho esto, empecemos con la parte divertida.

Para esta POC voy a usar una tool que desarrolle hace algo mas de un mes y que puede ser descargada aqui

564cec2406b8203f5c7b651f8044d402

Voy a explicar un poco por encima lo que esta herramienta hace:

Básicamente crea un downloader, el payload que genera es .bat y hace uso de powershell, por tanto funciona de windows vista en adelante sin ningún tipo de problema de compatibilidad; ademas los payloads generados solo tienen una similitud del 21%, esta similitud esta de hecho en los parametros que recibe powershell como opciones de ejecución, por tanto la colocación de una firma en esta zona generaría infinidad de falsos positivos, quizás eso explique que siendo algo publico desde hace mas de un mes l0s antivirus miren al mar cuando lo analizan.

3aa4e2a841b21873e3638cd352f27fe7

Dicho esto, vamos a aprovecharnos de la posibilidad de insertar objetos OLE en documentos de office, para el ejemplo usare Word en la version 2010.

El procedimiento es muy simple

  1. – Nuevo archivo
  2. – Insertar
  3. – Objeto
  4. – Crear desde un archivo
  5. – Examinar y seleccionamos el archivo bat que hemos creado, posteriormente elegimos el icono que mas nos convezca.

El resultado final seria este:

Como veis lo de .pdf.bat es mas falso que una moneda de 3 euros, pero de eso nos ocuparemos mas tarde…

Ahora que ya tenemos nuestro word malicioso creado, vamos a ver si las empresas de seguridad han hecho su trabajo…

<Irony>Vaya, sorpresa, no detectan nada :O </Irony>

La parte buena de esto es que al intentar ejecutar el objeto embebido windows nos pregunta si estamos seguros de que queremos ejecutar el archivo

La parte menos buena de esto? Que si ya le has dado a abrir no te vas a parar ni a leerlo.

La peor parte? Que esa ventana es el Zone ID y que se puede bypassear muy fácilmente tal que asi

Ahora vamos a optimizar esto, para ello bindearemos un pdf con los seriales a nuestro downloader, para que al hacer doble click en el word se ejecuten ambas cosas y que no sea tan cantoso. Luego haremos algo de magia para que nos quede algo asi… (omito este paso para evitar la reproducción exacta por parte de personas con oscuras intenciones :S)

Por ultimo, repetimos el mismo proceso que antes para que nos quede de este modo:

Ahora si da mas el pego que antes, tras el doble click en el icono:

Eso es todo.

Hasta la próxima 😀

 

Trabajo de investigacion: Operación link azul

*Esta entrada es la parte final de un proceso de investigación. En ningún momento de la misma se ha visto comprometida la información de ningún equipo.*

 

En esta entrada presentare un trabajo de investigación; el objetivo es comprobar la vulnerabilidad de los usuarios a una posible infección, en este caso usando como vector de ataque el hackeo a linkedin.

Para ello cree un pequeño programa en vb.net  simulando ser una herramienta para comprobar si la cuenta del usuario había sido publicada a través de su dirección de e-mail.

El programa en cuestion es el siguiente:

f648a233039996f608db644e5cf82969

67fa8348b3a983614fea00a10c15030d

El programa es pura fachada evidentemente y no comprueba absolutamente nada.

Primera parte de la operación link azul:

Elegí 2000 email aleatorios de la base de datos de linkedin (seleccioné 1000 de España, para formar una estadística a parte)

El vector de infección para la propagación del programa fue un e-mail con dirección falsa y un archivo adjunto.

39ec00449a2a3f26b26f198ca3a52899

98e86d8f4c32ac50681f2c6c3fc4abd3

Como veis, nada sofisticado, sin invertir casi nada en la parte de ingeniería social.

Funcionamiento del archivo cebo: 

El archivo simplemente crea un pequeño script en vbs para visitar una web sin abrir el navegador.

Set IE = CreateObject(“InternetExplorer.Application”)
IE.Visible = False
IE.Navigate “URL”

*Los créditos del script van en este caso para Adwind. Allí donde estés, un saludo :drinking:

Cuando el usuario “comprueba su email” el programa simplemente ejecuta el archivo y lo borra.

Resultados:

Los resultados realmente me sorprendieron, empezaremos primero por los de España:

De 1000 emails enviados la web donde se recopilaban las ips y se pintaba el mapa, registro ni mas ni menos que 435

españa visitas linkedin

Esto nos deja el escalofriante dato de que un 43,5% de los usuarios ejecutaron y “comprobaron” su email.

En total el numero de usuarios afectados del total de 2000 fueron 1231 un 61,55%.

En el top 5 de paises se encuentran

009bde660b1d587fcad7aa29d0e64428:

En total hubo usuarios afectados en 62 paises

5c36ac3f07fcc11b483a16ade7c73a29

Como se puede observar en el mapa, los países mas afectados en su mayoría han sido de habla hispana, quizás si el mensaje hubiera estado escrito en ingles la cosa habría cambiado.

Conclusiones:

Al recopilar resultados me quede realmente sorprendido, no esperaba tener un ratio de infección de mas del 10-20%, pero la realidad a triplicado mis expectativas. Ante esto creo que hay mucho que reflexionar, que hubiera pasado si en vez de un script para realizar una conexión, el archivo fueses un ransomware, o un spyware, o cualquier tipo de malware? Realmente es la gente tan vulnerable? Eso parece… Por cuanto tiempo serán las personas el eslabón mas débil de la cadena? Me temo que siempre sera así. Afortunadamente desde organismos como INCIBE se lleva a cabo una ardua tarea de conciencian sobre el uso responsable de la tecnología; y bajo mi punto de vista este es el camino que mas hay que trabajar en la lucha contra el cibercrimen, la educación, es la base de todo, y en la tecnología no iba a ser menos.

Por ultimo quiero lanzar también una critica a todas las compañías de antivirus, estoy convencido que muchas habran recibido la muestra, en la web que recopilaba las visitas se indicaba que todo era una investigación y que si algún investigador de seguridad, ya fuera de alguna empresa o independiente , llegaba ahi, que contactase. Nadie lo hizo. Ademas, la campaña fue lanzada a principios de Julio, han tenido dos meses para mover ficha, meter el dominio en lista negra… algo.. y este ha sido el resultado:

 

image

Nada mas que añadir. Que cada uno saque sus propias conclusiones, y si apetece que las comente debajo.

Un saludo.