Статья Bad-PDF . Атака с помощью вредоносного pdf-файла

Добрый день,Уважаемые Друзья,Форумчане,Читатели.
А также те,кто всегда измеряет пульс информационной безопасности.
Разберём сегодня одну из атак , с помощью генерирования вредоносного pdf-файла.
Нам в этом поможет лёгкий инструмент Bad-Pdf

Автор этого инструмента deepzec.
Это новинка ,которая к сожалению опубликована в пабликах.
У меня на Windows-машине , AvG обновлённый , не сработал .

В представлении задач,не нуждается , т.е. генерируется , очередной вредоносный pdf-файл ,который не все антивирусы пока идентифицируют.
Это плохо,потому что , жалею о том , что был вынужден сделать обзор не в закрытом секторе форума.
В задачи входит кража даных NTLM (NTLMv1 / NTLMv2) , а также хэши с оконных машин.
Идём в директорию , видим наш файл. (перед этим , нас попросят указать Ip -атакующей машины (простите,что оговорился вначале) , название файла и интерфейс)


Администрация Форума и автор обзора предупреждают о запрете использования рассматриваемого метода в незаконных целях.
Вся информация предоставлена исключительно для ознакомления и изучения проблем ИБ.

Как скачать:

# git clone https://github.com/deepzec/Bad-Pdf.git
# cd Bad-pdf/
# chmod +x badpdf.py
# python badpdf.py - запуск на kali Linux
# python2 badpdf.py -запуск на атакующей машине Arch Linux

Но,что есть,то есть по-факту,и я вам продемонстрирую как это работает,раз пошла такая песня.

Должен вам признаться,что понервничал немного при этом.
Дело в том ,что я планировал сгенерировать файл на Arch Strike,а затем поиметь самого себя с Kali Linux.
Но,не тут -то было.На kali у меня интерфейс eth0,а на Arch enp0s3 ,и вот эта штуковина,выбивает ошибку при ненадлежащем интерфейсе.
Утилита требует реального интерфейса и запускает в конце прослушиватель,хотя и не просит конкретного порта.

Могу успокоить атакующих пентестеров,что можно генерировать повтор,когда уже файл есть такой,ничего не изменится и можно работать.
Актуально это для всех пока версий pdf.

Мне пришлось изгаляться,чтобы показать профит вам,как он выглядит.
От глобальной сети,перевёл атаку в локалку,но сами понимаете,что в глобальной сети,это работает.
Я выбрал жертвой самого себя.Сгенерировал вредоносный файл pdf ,якобы собираюсь поздравить с праздником некую организацию.


Сотрудник этой мнимой организации получает письмо. (вы видите покорного слугу при этом ,который через yandex почту получает послание).
С электрухой в руках -это я ,сдаю себя ,можно сказать вам,с потрохами))
Открывает файл , и атакующий получает данные мгновенно.



Для любителей покопаться во внутренностях,публикую скрин части сгенерированного вредоносного файла.



У меня на этом всё,желаю искренне,всем отличного настроения. Благодарю за внимание и прочтение.
До новых встреч,спасибо,что Вы с нами.

 

[n01n02h]

Thanks Bro)
Пару дней назад читал про эту тулзу, хотел затестить и написать обзор, но ты опередил)

 

[Vertigo]

Thanks Bro)
Пару дней назад читал про эту тулзу, хотел затестить и написать обзор, но ты опередил)

Бро,сам сомневался,искал новинки для форума,многие не пошли.Затестил это.

 

[ghostphisher]

Все отлично! Лови +

Тем, у кого ошибка полезет
/bin/sh: 1: -I: not found

нужно при вопросе программы указать путь респондера вот такой
/usr/sbin/responder

программа по дефолту такой дает /usr/bin/responder

Интерфейс надо прописать тоже руками, иначе будет ошибка =)

По итогам

Win 7 Ultima - все отлично
Win 10 Корп и Энтер - ( одна живая другая на ВМ ) - не сработали

 

[pesl]

Приветствую, форумчане.

Для начала, поблагодарю ТС за статью, т.к. давно ждал её.
В пентесте я начинающий, можно сказать, что очень мало знаний, всвязи с чем, прошу помощи в тестировании Bad-PDF ИРЛ.
Может быть вопросы уже были, но в поиске не нашел.

Тестировал с атакующей Kali на WM в локалке на второй тестируемой машине с Win 10. При отправке с мэйла ya-->ya файл pdf был пропущен AV и успешно открыт на тестируемой Win 10. В терминале с работающим badpdf.py пришли Хэши Windows NTLMv2.

Далее, у меня засада...


1. Как удалить эксплоит с атакующей Kali на WM, если там по ошибке изначально открыл файл bad.pdf? Или он так не работает attacker-->attacker ?

2. Как удалить дистанционно (но есть и физдоступ, канеш) эксплоит с атакуемой машины на Win 10 ?

3. Как, где и быстрее можно расшифровать Хэши Windows 10 NTLMv2 ? Это главное на данном этапе.

4. Для тестирования ИРЛ на работе, хочу отправить сотрудникам Письмо_от_руководства.pdf . Тест будет проходить НЕ в локалке (провайдеры будут разные).
Как лучше и где склеить реальное письмо.pdf и экспоит bad.pdf (он создался пустым файлом pdf) - в единый файл test.pdf , чтобы это выглядело, как минимум незаметно для тестируемых?

Жду пинки и дельные советы.

Учиться хочу и пытаюсь. В теме - меньше месяца.

зы: в питоне, кали, етц. - ну полный ламер. Считайте - виндузятник, соскакивающий на линукс.

 

[nikos]

Спасибо отличная статья обязательно затестим эту тузу. Темболие есть на ком .

 

[Akis]

Я видел видео jpeg 0day exploit и стоит она $2500. Интересно она есть или какой то фейк?

 

[nikos]

Здрасте! А с какого окна можно лазить в закрытый сектор форума ? Если конечно это возможно.

Нужно быть грей чтобы попасть в закрытый раздел.

 

[erlan1749]

Посмотреть вложение 18227

Добрый день,Уважаемые Друзья,Форумчане,Читатели.
А также те,кто всегда измеряет пульс информационной безопасности.
Разберём сегодня одну из атак , с помощью генерирования вредоносного pdf-файла.
Нам в этом поможет лёгкий инструмент Bad-Pdf

Автор этого инструмента deepzec.
Это новинка ,которая к сожалению опубликована в пабликах.
У меня на Windows-машине , AvG обновлённый , не сработал .

В представлении задач,не нуждается , т.е. генерируется , очередной вредоносный pdf-файл ,который не все антивирусы пока идентифицируют.
Это плохо,потому что , жалею о том , что был вынужден сделать обзор не в закрытом секторе форума.
В задачи входит кража даных NTLM (NTLMv1 / NTLMv2) , а также хэши с оконных машин.
Идём в директорию , видим наш файл. (перед этим , нас попросят указать Ip -атакующей машины (простите,что оговорился вначале) , название файла и интерфейс)
Посмотреть вложение 18228

Администрация Форума и автор обзора предупреждают о запрете использования рассматриваемого метода в незаконных целях.
Вся информация предоставлена исключительно для ознакомления и изучения проблем ИБ.

Как скачать:

# git clone https://github.com/deepzec/Bad-Pdf.git
# cd Bad-pdf/
# chmod +x badpdf.py
# python badpdf.py - запуск на kali Linux
# python2 badpdf.py -запуск на атакующей машине Arch Linux

Но,что есть,то есть по-факту,и я вам продемонстрирую как это работает,раз пошла такая песня.

Должен вам признаться,что понервничал немного при этом.
Дело в том ,что я планировал сгенерировать файл на Arch Strike,а затем поиметь самого себя с Kali Linux.
Но,не тут -то было.На kali у меня интерфейс eth0,а на Arch enp0s3 ,и вот эта штуковина,выбивает ошибку при ненадлежащем интерфейсе.
Утилита требует реального интерфейса и запускает в конце прослушиватель,хотя и не просит конкретного порта.

Могу успокоить атакующих пентестеров,что можно генерировать повтор,когда уже файл есть такой,ничего не изменится и можно работать.
Актуально это для всех пока версий pdf.

Мне пришлось изгаляться,чтобы показать профит вам,как он выглядит.
От глобальной сети,перевёл атаку в локалку,но сами понимаете,что в глобальной сети,это работает.
Я выбрал жертвой самого себя.Сгенерировал вредоносный файл pdf ,якобы собираюсь поздравить с праздником некую организацию.
Посмотреть вложение 18229

Сотрудник этой мнимой организации получает письмо. (вы видите покорного слугу при этом ,который через yandex почту получает послание).
С электрухой в руках -это я ,сдаю себя ,можно сказать вам,с потрохами))
Открывает файл , и атакующий получает данные мгновенно.

Посмотреть вложение 18230

Для любителей покопаться во внутренностях,публикую скрин части сгенерированного вредоносного файла.
Посмотреть вложение 18231


У меня на этом всё,желаю искренне,всем отличного настроения. Благодарю за внимание и прочтение.
До новых встреч,спасибо,что Вы с нами.

Привет!
А как получить метерпретер сессию через pdf?

 

[Vertigo]

Привет!
А как получить метерпретер сессию через pdf?

Этот способ не даёт никаких сессий , и атака может быть проведена злоумышленником
с помощью дополнительных методов,которые позволяют получение Meterpreter-сессии.
Теоретически, это сгенерированный backdoor ,но из известных готовых инструментов,которые генерируют их,многое уже неактуально.
Т.к. задерживаются AV.

 

[Vertigo]

Далее, у меня засада...

1.2)Дистанционно? Почему-то на ум сразу пришёл Intercepter-NG ,в нём ,если не ошибаюсь много функций по работе с тем же SMB.
Как-то сомнительно это выглядит.Если атака идёт на серьёзную организацию,то службы безопасности,как правило знают вот эти методы.
Их же немного,и они логично будут ждать попытки аутентификации со стороны сторонней машины,чтобы понять географию атакующего,а если повезёт,
то какие-то данные узнать и о нём в ответ.Письмишко-то Ваше,скорее всего скопируют,зафиксируют и сохранят для расследования инцидента.
В серьёзных конторах,о подозрительных письмах обученный персонал сразу докладывает администраторам.
В иных случаях,письмо откроют,полюбуются на каракули и удалят, скорее всего в корзину.
При полном захвате машины,Вам удалить файл никакого труда не составит.

3) Зачем ? Если так интересно ,пробуйте. MD4 и MD5 -такие алгоритмы там применяются .
Инструменты ,которые работают с этими алгоритмами,подойдут.Если пароли сложные,то это потеря времени.
У данного метода есть ещё небольшая хитрость-обратите внимание на легковесность генерируемого файла.
Что используется в обходе лимитированного объёма полученного почтового отправления.
У Вас есть деидентинфикация пользователя.

И в некоторых случаях , применяется обычный подбор запроса с проксированием.
Если Вы посмотрите как формируются хэши в этих случаях,то конечной целью после
16-ти байтовых значений,формирования дальнейшей последовательности по 8-ми байтовым значениям,
(Client Challenge) и последующего их объединения в blob ,вычисления NTLMv2-hash, с обработкой применением алгоритма HMAC-MD5,
получения снова последовательности в 16 байт-всё ради NTLMv2 Response,т.е. готового результата,который мы перехватываем таким образом.

Вообще ,такая атака опасна для корпоративной машины,которая введена в домен.
Атакующий ,перехватив SMB-пакеты аутентификации,имеет несколько далее возможностей для развития атаки.
Одна из них-это подмена сервера,которая начинается c вывода из цепочки атакуемого сервера с применением DDOS-атаки,
присваиванием данных выведенного из строя сервера.

Для получения VPN-аутентификации,Skype,Outloock,другим сервисам ,
тоже в случае завладения паролем из хэша это может быть использовано.
Но это в случае скорее всего ,привязки к Microsoft-аккаунту.

Также здесь может быть использована атака за счёт подмены пакетов аутентификации,которая применима в случае некорректных политик безопасности в настройках.
Один из комплекса методов защиты - это в разделе администрирования Windows,в локальных политиках и настройках безопасности установить параметр,
чтобы отправка ответа была только NTLMv2 и отказывать в отправке NTLM и LM.
По-прежнему в комплект защиты входит и ограничение доступа к портам 137,139,445 для всех ,практически ,диапазонов адресов.

 

[OneTrust]

Можно немного детальней, например сотрудник моей организации запустил PDF файл, что сможет сделать потенциальный злоумышленник? Как он будет действовать? Начнет расшифровавывать хеш? А потом, будет подключаться к компьютеру. Напишите об этом чтобы статья была максимально полезная.

 

[Vertigo]

что сможет сделать потенциальный злоумышленник? Как он будет действовать? Начнет расшифровавывать хеш? А потом, будет подключаться к компьютеру.

Нет,злоумышленник просто аутентифицируется вместо той машины ,которую атаковал методом подмены и уже от неё станет отсылать запросы на другие и перехватывать ответы.
Она же станет доверенной (своей).
Ну а далее,по пунктам ,о которых написал выше.

 

[Underwood]

Worse-PDF - еще один инструмент для получения Net-NTLM хешей, который позволяет модифицировать для этой цели нормальный документ в pdf формате

 

[ALeHaNdR0]

Worse-PDF - еще один инструмент для получения Net-NTLM хешей

Можно вопрос, я вообще тут новенький, только начал учится, для чего вообще нужно получение Net-NTLM хешей ? Что это дает?

 

[Demi]

Можно немного детальней, например сотрудник моей организации запустил PDF файл, что сможет сделать потенциальный злоумышленник? Как он будет действовать? Начнет расшифровавывать хеш? А потом, будет подключаться к компьютеру. Напишите об этом чтобы статья была максимально полезная.

Вам сделали обзор на инструмент, Вы хотите что бы так же рассказали что делать дальше после того как получите ХЕШ ? Куда бежать и что запускать ?
Я понимаю конечно что далеко не все читатели форума являются ИБ специалистами или пытаются ими стать, а так же есть процент маминких сынков которые пытаются стать кул хацкеркми, и если в статье нет кнопки «хак» то статья для них становится бесполезной. В данном случае статья именно такая, но от этого она для остальных не становится бесполезной !

Vertigo - как обычно на высоте !

 

[OneTrust]

Вам сделали обзор на инструмент, Вы хотите что бы так же рассказали что делать дальше после того как получите ХЕШ ? Куда бежать и что запускать ?
Я понимаю конечно что далеко не все читатели форума являются ИБ специалистами или пытаются ими стать, а так же есть процент маминких сынков которые пытаются стать кул хацкеркми, и если в статье нет кнопки «хак» то статья для них становится бесполезной. В данном случае статья именно такая, но от этого она для остальных не становится бесполезной !

Vertigo - как обычно на высоте !

Нет, я интересовался только с целью того, как можно защититься и чтобы найти варианты защиты, когда уже был запущен вредоносный файл. Мне понравилась работа Vertigo, я ее оценил после прочтения. Мне нужна кнопка "Хак", просто было интересно увидеть возможные векторы атак. Автор поделился своими мыслями и скинул информацию по теме. Не вижу никаких проблем в этом.

 

[tacilo]

Вам сделали обзор на инструмент, Вы хотите что бы так же рассказали что делать дальше после того как получите ХЕШ ? Куда бежать и что запускать ?

Человекс завышенным ЧСВ или неадекватно воспринимающий реальность?
"Вся информация предоставлена исключительно для ознакомления и изучения проблем ИБ."

 

[nikos]

Вам сделали обзор на инструмент, Вы хотите что бы так же рассказали что делать дальше после того как получите ХЕШ ? Куда бежать и что запускать ?
Я понимаю конечно что далеко не все читатели форума являются ИБ специалистами или пытаются ими стать, а так же есть процент маминких сынков которые пытаются стать кул хацкеркми, и если в статье нет кнопки «хак» то статья для них становится бесполезной. В данном случае статья именно такая, но от этого она для остальных не становится бесполезной !

Vertigo - как обычно на высоте !

У тебя горит? Чего на человека накинулся?

 

[Demi]

У тебя горит? Чего на человека накинулся?

Стоп флуд !
В теме !