Статья Bad-PDF . Атака с помощью вредоносного pdf-файла

Добрый день,Уважаемые Друзья,Форумчане,Читатели.
А также те,кто всегда измеряет пульс информационной безопасности.
Разберём сегодня одну из атак , с помощью генерирования вредоносного pdf-файла.
Нам в этом поможет лёгкий инструмент Bad-Pdf

Автор этого инструмента deepzec.
Это новинка ,которая к сожалению опубликована в пабликах.
У меня на Windows-машине , AvG обновлённый , не сработал .

В представлении задач,не нуждается , т.е. генерируется , очередной вредоносный pdf-файл ,который не все антивирусы пока идентифицируют.
Это плохо,потому что , жалею о том , что был вынужден сделать обзор не в закрытом секторе форума.
В задачи входит кража даных NTLM (NTLMv1 / NTLMv2) , а также хэши с оконных машин.
Идём в директорию , видим наш файл. (перед этим , нас попросят указать Ip -атакующей машины (простите,что оговорился вначале) , название файла и интерфейс)


Администрация Форума и автор обзора предупреждают о запрете использования рассматриваемого метода в незаконных целях.
Вся информация предоставлена исключительно для ознакомления и изучения проблем ИБ.

Как скачать:

# git clone https://github.com/deepzec/Bad-Pdf.git
# cd Bad-pdf/
# chmod +x badpdf.py
# python badpdf.py - запуск на kali Linux
# python2 badpdf.py -запуск на атакующей машине Arch Linux

Но,что есть,то есть по-факту,и я вам продемонстрирую как это работает,раз пошла такая песня.

Должен вам признаться,что понервничал немного при этом.
Дело в том ,что я планировал сгенерировать файл на Arch Strike,а затем поиметь самого себя с Kali Linux.
Но,не тут -то было.На kali у меня интерфейс eth0,а на Arch enp0s3 ,и вот эта штуковина,выбивает ошибку при ненадлежащем интерфейсе.
Утилита требует реального интерфейса и запускает в конце прослушиватель,хотя и не просит конкретного порта.

Могу успокоить атакующих пентестеров,что можно генерировать повтор,когда уже файл есть такой,ничего не изменится и можно работать.
Актуально это для всех пока версий pdf.

Мне пришлось изгаляться,чтобы показать профит вам,как он выглядит.
От глобальной сети,перевёл атаку в локалку,но сами понимаете,что в глобальной сети,это работает.
Я выбрал жертвой самого себя.Сгенерировал вредоносный файл pdf ,якобы собираюсь поздравить с праздником некую организацию.


Сотрудник этой мнимой организации получает письмо. (вы видите покорного слугу при этом ,который через yandex почту получает послание).
С электрухой в руках -это я ,сдаю себя ,можно сказать вам,с потрохами))
Открывает файл , и атакующий получает данные мгновенно.



Для любителей покопаться во внутренностях,публикую скрин части сгенерированного вредоносного файла.



У меня на этом всё,желаю искренне,всем отличного настроения. Благодарю за внимание и прочтение.
До новых встреч,спасибо,что Вы с нами.

 

[MrBa]

Приветствую всех форумчан!
У меня нет файла responder ни в папке usr/bin, ни в папке usr/sbin
Os Backbox . Пытался установить, тоже ругается на отсутствие. Подскажите плиз где этот респондер взять? Премного благодарен.

 

[Vertigo]

где этот респондер взять? .

git clone https://github.com/SpiderLabs/Responder.git

Взять можно так,но сам не юзал Backbox . Попробуйте из этих директорий его установить.(usr/bin )
И всё это с учётом совета из комментария #4 @ghostphisher
Есть ещё один способ установки . Берётся репозиторий от Kali Linux , добавляется в файл с репами Backbox.
Перезагружается система,выполняете построение списка пакетов # apt-get update
И тут же скачиваете что требуется # apt-get install responder (в Kali он есть ).
И удаляете репозиторий Kali (никаких upgrade не вздумайте делать с ним).

 

[FantomDragon]

Такой вопрос а можно как-то внедрить в Bad-PDF файл чтоб он запустился?? Если да то можете подсказать как этом можно сделать

 

[MrBa]

Перезагружается система,выполняете построение списка пакетов # apt-get update
И тут же скачиваете что требуется # apt-get install responder (в Kali он есть ).
И удаляете репозиторий Kali (никаких upgrade не вздумайте делать с ним).

Спасибо - это очень ценный совет!

 

[HakJob]

правильно ли я понимаю, что в случае работы через вафлю надо имя интерфейса прописывать wlan0 и IP - своей машины ?

 

[GlowFisch]

Как защититься от этой атаки ?

 

[user13]

Как защититься от этой атаки ?

Я так понимаю автор данного скрипта дал ответ в Readme

Патч Adobe:

Ссылка скрыта от гостей

• В конце прошлого года Microsoft выпустила дополнительное усовершенствование безопасности [0], которое предоставляет клиентам возможность отключить аутентификацию NTLM SSO в качестве метода для публичных ресурсов.
• Отключите внешний доступ SMB в брандмауэре, чтобы предотвратить утечку хеша NTLM в Интернет

 

[Vertigo]

Как защититься от этой атаки ?

Самой элементарной защитой от таких файлов является использование StarForce Reader или Foxit обновлённой версии.

 

[meteor]

Вам сделали обзор на инструмент, Вы хотите что бы так же рассказали что делать дальше после того как получите ХЕШ ? Куда бежать и что запускать ?
Я понимаю конечно что далеко не все читатели форума являются ИБ специалистами или пытаются ими стать, а так же есть процент маминких сынков которые пытаются стать кул хацкеркми, и если в статье нет кнопки «хак» то статья для них становится бесполезной. В данном случае статья именно такая, но от этого она для остальных не становится бесполезной !

Vertigo - как обычно на высоте !

FreeRDP
Еще одна утилита из набора — FreeRDP. Это консольный клиент удаленного рабочего стола (Remote Desktop Protocol). Одна из особенностей клиента — это возможность использовать хэша пароля, вместо самого пароля.
Пример команды:

xfreerdp /d:win2012/u:eek:ffcec/pth:8846F7EAEE8FB117AD06BDD830B7586C /v:192.168.0.1

где после /d: — имя домена,
после /u: — имя пользователя,
после /pth: — хеш,
после /v: — IP сервера.