Mòdul Professional 5: A10 - Atac per adjunts

La tècnica de binding és juntar dos arxius, normalment dos executables, de forma que un s'executi després de l'altre i si pot ser de forma silenciosa. Aquesta tècnica bàsicament busca poder executar un arxiu alhora que obrir un altre, de forma que l'usuari no sigui conscient de tot el que s'ha executat.

En el nostre cas tenim un payload.exe. Adicionalment buscarem per Internet una factura qualsevol en format PDF i la descarregarem i anomenarem factura.pdf. Per simplicitat i referència deixarem aquests noms tal qual, en un atac real caldria amagar-los una mica més.

Amb aquests dos arxius utilitzarem des de Windows el programa iexpress que és pròpi de Microsoft i serveix per a fer instal·ladors bàsicament. En aquest vídeo podeu veure com utilitzar-lo.

Com a "Install Program" indicarem cmd /c payload.exe i com a "Post Install Program" cmd /c explorer factura.pdf .

Es podría fer quelcom més el·laborat utiltizant arxius per lots (.bat) de forma que elimines els temporals, etc. De nou per simplicitat ho deixem així.

El primer pas és ocultar l'extensió real de l'executable, per fer-ho tenim vàries opcions, des de MS Windows.

La primera i més classica és modificar el nom de l'arxiu a quelcom semblant a factura.pdf.exe de forma que si la víctima té l'opció de vista "ocultar extensiones comunes" veurà factura.pdf.

Un altre opció, per complicar el reconeixement de l'arxiu com un executable i per tant com a possiblement perillós és utilitzar una extensió executable poc coneguda. Canviarem l'extensió .exe per .scr que continua sent executable perfectament (feu la prova).

Finalment un altre técnica a aplicar és, primer de tot canviar el nom a quelcom semblant a facturapdf.src, després editant el nom de l'arxiu de nou ens situem just davant de pdf i fem botó dret triant Insert Unicode control character i RLO. Això el que fa és que escrivim a partir d'aquest punt en odre invers, quedant l'extensió fake com a última. Així el resultat serà facturarcs.pdf.

Jugueu amb aquestes opcions, combinant-les, i deixeu l'executable com més us agradi.

Després utilitzarem ResourceHacker per canviar l'icona del programa. Busqueu o genereu una icona de PDF i assigneu-la com a icona del payload.

En aquest cas recordeu que estem simulant un atac mitjançant adjunts, per tant cal que us envieu un email amb el pretext que us han facturar una compra que no heu fet en l'empresa o quelcom semblant i adjuntant l'arxiu amb el payload.

Com sabeu GMail bloca adjunts executables, si ho provem també bloca els arxius comprimits, la veritat és que ho complica tot força. Per tant muntarem un equip amb un apache i hospedarem el binari mentre que al email adjuntem una línia amb un enllaç cap a ell de l'estil "Adjunt: Factura.pdf". Aquí recordeu que podeu formatar el email amb HTML i donar-hi un aspecte creible a la secció de l'adjunt.

En la víctima: En la víctima hem de tenir en l'arxiu de hosts, i per simular que l'atacant ha comprat el domini, donat d'alta una entrada amb atacant.cat i la IP del nostre servidor web que conté tant el payload com el handler.

Establiu en handler a la màquina atacant per a que quedi a l'espera de la shell de meterpreter inversa.

La part que ens interessa més és com fer un pivotatge, és a dir, com utilitzar el PC compromés per aprofundir a la xarxa de la víctima atacant altres equips que no teniem a l'abast fins ara. De fet, imaginant una estructura d'empresa, és com si un cop dins d'un client (quehem accedit per un atac de email) ara volem atacar el Active Directory.

Per fer-ho Metasploit i Meterpreter ens proveeix de varies eines, les dues més interessant són: routes, socks i el programa proxychains.