injectando malware en un PDF

El procedimiento para esconder un backdoor en un documento pdf es a través de metasploit. Probablemente existan otros métodos... Pero al menos para mí a la hora de crearlos me resulta más sencillo usar esta herramienta.

Con metasploit no sólo podemos crear listeners como hemos hecho hasta ahora, también podemos crear documentos con inyecciones de por medio. Podemos hacerlo de 2 formas. Esta primera forma que vamos a hacer consiste en crear de 0 un documento pdf con un backdoor de tipo exe de por medio, por lo que el sistema operativo destino será windows. La otra forma consiste en a través de un documento pdf ya existente, realizar una inyección .Exe.

Para ello, en cuanto  la primera de ellas:

La que nosotros utilizaremos en este caso será la última de todas. Veamos algo de información sobre el exploit en cuestión:

Genial, pues para ello necesitamos especificar el nombre de nuestro documento pdf en filename. Exename lo dejaremos intacto porque no será visible.

Modificamos algunos parámetros:

​

Fijamos nuestra ip privada en caso de que queramos trabajar a red local, y un puerto. Si queremos que tenga funcionalidad externa a la red local abrimos un puerto en el router y especificamos nuestra ip privada en dicho puerto.

Pinchamos en exploit y se nos crea nuestro pdf troyanizado en la dirección /root/.msf4/local/, accedemos a dicho directorio y en mi caso lo muevo al escritorio. Como veis ahí a la izquierda tenemos nuestro pdf. Ahora lo único que tendríamos que hacer sería crear un listener. Si lo queremos hacer con meterpreter, usamos el exploit/multi/handler y nos bastaría con el windows/meterpreter/reverse_tcp mismo de payload. Si queremos hacerlo con netcat, tan sólo tendríamos que escribir el comando 'nc -nlvp 4646'.

Recordemos que es para windows... Así que no trates de abrirlo en kali, parrot o linux esperando ganar sesión con el listener puesto que no funcionará, ese documento sería enviado a la máquina destino que queramos atacar y apenas sea abierto ganaremos acceso al ordenador remoto.

Ahora vamos a ver el segundo procedimiento, haremos una inyección .Exe a través de un documento pdf ya existente.

Supongamos que tenemos este pdf en el escritorio:

 

Bien pues ahora usaremos este otro exploit desde metasploit:

Filename será nuestro output e infilename será nuestro input.

Ya tenemos nuestro nuevo documento creado en la ruta especificada. Vamos a ver la diferencia:
​

La única diferencia está en el nombre, y si tratamos de abrir el documento todo parece normal. Vamos a hacerlo un poco más profesional montando un servidor apache y alojando dicho fichero:

Tuve que mostrároslo desde el historial porque sin querer se me cerró la ventana, pero aplicaríamos esos comandos.

Ahora entonces desde el navegador:

Nosotros desde linux, parrot o kali lo veremos así tal cual... Pero desde windows directamente saldrá la ventana de escoger destino para guardar el documento. Desde que escojan el directorio y guarden, les saldrá una nueva ventana donde verán nuestro mensaje "lo sentimos, no se puede abrir este documento...". Aún así tendrán disponibles los botones de "open" y "do not open", generalmente intentarán abrirlo a pesar del mensaje de aviso.

Desde que lo abran, con nuestra sesión meterpreter o la netcat... Ganaremos acceso. Verían el documento pdf tal cual... Sin ningún tipo de problema, pero el ejecutable lo abrieron desde que pulsaron el botón open, ahí está el truco.

Autor/a: JH1