0-day Winrar: PoC – Com camuflar arxius maliciosos amb Winrar?

Una pregunta recorrent dels alumnes quan tractem temes de seguretat informàtica és: ¿Com es pot camuflar un virus, backdoor, troià, keylogger, etc en un arxiu normal o imatge? Doncs avui ho podem veure i experimentar amb un flamant 0-Day de Winrar molt senzill de fer i que té un impacte definitiu.

S’ha descobert que en comprimir un arxiu amb Winrar, i triant extensió zip, el programa afegeix meta-informació extra dins el document.  Una part d’aquesta informació correspon al nom i extensió de l’arxiu comprimit, i en modificar-la manualment obtindrem com a resultat un arxiu perfectament camuflat aparentant ser una imatge per exemple.

Per a fer la prova de concepte primer de tot crearem un petit executable que ens mostri un text inofensiu.  Editarem un arxiu amb extensió vbs i a dins hi col·locarem el codi:

MsgBox(“Ja has llepat!”)

Arxiu vbs que executa un diàleg.

Arxiu vbs que executa un diàleg.

Tot seguit el comprimirem amb Winrar, tot vigilant triar l’opció de arxiu ZIP.

Ens assegurem de triar l'opció d'arxiu ZIP.

Ens assegurem de triar l’opció d’arxiu ZIP.

 

Ara ens queda modificar les meta-dades del arxiu zip que acabem de crear.  Per a fer-ho necessitem un editor hexadecimal, com per exemple HexEdit.  Un cop obert el arxiu zip amb l’editor hexadecimal localitzem la cadena que correspon al nom del nostre arxiu a encobrir i simplement modifiquem el valor per a mostrar-ne un de menys sospitós, en aquest cas el re-nombrarem a fotoVacances.jpeg

Aquesta és la cadena de text a modificar.

Aquesta és la cadena de text a modificar.

Simplement modifiquem la segona aparició del nom del nostre arxiu a encobrir i guardem el document.

Feta la modificació guardem de nou l'arxiu.

Feta la modificació guardem de nou l’arxiu.

Ara ja tan sols ens queda veure si funciona, així que obrim el arxiu amb Winrar, i veiem que efectivament el nostre arxiu ara sembla una imatge normal i corrent, fem doble clic i sorpresa!!! Ja tindríem infecció per virus, ens estaríem espiant o simplement hauriem obert una backdoor que aprofitaria un hacker maliciós per a controlar la nostra màquina i totes les nostres dades.

L'arxiu maliciós funcional i totalment camuflat com una imatge qualsevol.

L’arxiu maliciós funcional i totalment camuflat com una imatge qualsevol.

Cal dir que si es descomprimeix de forma normal, és a dir s’extreuen els arxius del zip, l’arxiu maliciós queda com estava originàriament (com és lògic) i per tant és fàcil descobrir així l’estafa.

Així doncs vigileu i acostumeu-vos a descomprimir els arxius en comptes de fer doble-clic, estigueu al cas del pegat per al Winrar i, sobretot, no feu dolenteries!

Anuncis

~ per madyyelf a 25 Març 2014.