"OP Octubre Rojo"... tomando el control mediante archivos adjuntos

El malware fue distribuido por más de medio mundo
Hace poco, Kaspersky publicó el descubrimiento de un malware dirigido a las "altas esferas" que pasó desapercibido durante mucho tiempo y parece haber sido programado por especialistas con intereses muy concretos. Surge la inmediata comparación con Flame, aunque todo apunta a que no llega a ese nivel de sofisticación. Su trama se ha llamado "Operación Octubre Rojo". 

Tras ojear la noticia me he puesto manos a la obra y hemos investigado un poco más sobre el alcance de este malware y su método de infección, el cual parece bastante eficaz. Según el mapa publicado por Kaspersky, buena parte de Europa, Asia e incluso África se ha visto afectada...

El método de infección:
Ejemplo de correo distribuyendo el malware

Esta es la parte más "curiosa". El principal método de infección es la distribución de ficheros adjuntos por email aprovechando vulnerabilidades en Office CVE-2009-3129 (Excel), CVE-2010-3333 y CVE-2012-0158 (ambas de Word). 

Vamos hacer un parón en este punto pues esta bien saber hacer de todo y si ha sido simple pero eficaz para "Operación Octubre Rojo" quien sabe algún día nos puede ser de utilidad a nosotros ;D

Los atacantes tomaron unos documentos previamente creados por una campaña de infección china, modificaron el payload y los enviaron a sus 
víctimas. El texto de los documentos no fue personalizado. Sin embargo, 
los diplomáticos, embajadores y víctima en general quedaron infectados.

Veamos como podemos aprovechar estos exploits en casita y sin sudar demasiado... imitando así el método de infección ..


CVE-2012-0158

Ya se hablo algo de ella aquí en Hackplayers.
Todo empieza cuando el Word abre el documento previamente mandado por email... La vulnerabilidad CVE-2012-0158 es explotada y el shellcode del archivo se desencadena.

Este shellcode es responsable de instalar o ejecutar un payload en el sistema operativo.

En esta etapa, el mismo shellcode inicia un nuevo proceso en Word y abre el documento-trampa, que también se coloca en el directorio Temp. El primer proceso se finaliza y la víctima sigue viendo sólo el documento aparentemente legítimo.

Vamos a la práctica:


El siguiente paso es fácil de adivinar... e indicaremos en Metasploit las opciones como mejor nos convenga, Para según que casos en el ejemplo usaré las siguientes (en principio iba a omitir este paso, pero por si llega algún recién nacido lo explicamos bien desmenuzadito):



Para usar las otras dos vulnerabilidades más de lo mismo...

CVE-2010-3333

Cito a Inteco: "Desbordamiento de búfer basado en pila en Microsoft Office XP SP3, Office 2003 SP3, Office 2007 SP2, Office 2010, Office 2004 y 2008 para Mac, Office para Mac 2011 y Open XML File Format Converter para Mac permite a atacantes remotos ejecutar código de su elección mediante datos RTF manipulados, también conocido como "RTF Stack Buffer Overflow Vulnerability."

Para los que quieran profundidar a nivel más bajo en el por qué de este fallo de Microsoft Word, encontré un artículo muy bueno en el blog Unlearning security  el cual recomiendo que reviséis porque explicarlo de nuevo aquí sería una pérdida de tiempo..

De nuevo Inteco: "Microsoft Office Excel v2002 SP3, v2003 SP3, y 2007 SP1 y SP2; Office v2004 y v2008 para Mac; Open XML File Format Converter para Macato ; Office Excel Viewer v2003 SP3; Office Excel Viewer SP1 y SP2; y Office Compatibility Pack para Word, Excel, y PowerPoint v2007 File Formats SP1 y SP2 no analiza adecuadamente el formato del fichero Excel, lo que permite a atacantes remotos ejecutar código de su elección a través de una hoja de cálculo con un registro de objeto manipulada, como "vulnerabilidad de corrupción de memoria en el registro Featheader de Excel"."

La manera de actuar para llevar a cabo el ataque es muy similar en los tres casos. Pero para que quede cristalino os adjunto un vídeo:




Bueno chicos, sed buenos y hasta que tenga otro rato de ocio, que ultimamente   escasean....

3 comentarios :

  1. Perdona mi ignorancia, pero ¿como se tendría que poner para explotarlo remotamente? ¿pones tu ip dinamica y abres un puerto? ¿o solo se puede local?

    ResponderEliminar
  2. Hola @anónimo,

    para realizar una conexión inversa y si tienes IP dinámicas deberías usar un servicio como dyndns o no-ip y abrir el puerto que asignes..

    Saludos!

    ResponderEliminar
  3. Excelente el articulo que nos compartes, un gran trabajo el logrado con este blog.

    ResponderEliminar