![]() |
El malware fue distribuido por más de medio mundo |
Tras ojear la noticia me he puesto manos a la obra y hemos investigado un poco más sobre el alcance de este malware y su método de infección, el cual parece bastante eficaz. Según el mapa publicado por Kaspersky, buena parte de Europa, Asia e incluso África se ha visto afectada...
El método de infección:
![]() |
Ejemplo de correo distribuyendo el malware |
Esta es la parte más "curiosa". El principal método de infección es la distribución de ficheros adjuntos por email aprovechando vulnerabilidades en Office CVE-2009-3129 (Excel), CVE-2010-3333 y CVE-2012-0158 (ambas de Word).
Vamos hacer un parón en este punto pues esta bien saber hacer de todo y si ha sido simple pero eficaz para "Operación Octubre Rojo" quien sabe algún día nos puede ser de utilidad a nosotros ;D
Los atacantes tomaron unos documentos previamente creados por una campaña de infección china, modificaron el payload y los enviaron a sus
víctimas. El texto de los documentos no fue personalizado. Sin embargo,
los diplomáticos, embajadores y víctima en general quedaron infectados.
Veamos como podemos aprovechar estos exploits en casita y sin sudar demasiado... imitando así el método de infección ..
CVE-2012-0158
Ya se hablo algo de ella aquí en Hackplayers.
Todo empieza cuando el Word abre el documento previamente mandado por email... La vulnerabilidad CVE-2012-0158 es explotada y el shellcode del archivo se desencadena.
Este shellcode es responsable de instalar o ejecutar un payload en el sistema operativo.
En esta etapa, el mismo shellcode inicia un nuevo proceso en Word y abre el documento-trampa, que también se coloca en el directorio Temp. El primer proceso se finaliza y la víctima sigue viendo sólo el documento aparentemente legítimo.
Vamos a la práctica:
El siguiente paso es fácil de adivinar... e indicaremos en Metasploit las opciones como mejor nos convenga, Para según que casos en el ejemplo usaré las siguientes (en principio iba a omitir este paso, pero por si llega algún recién nacido lo explicamos bien desmenuzadito):
![](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhOXzQOOzSAx5JlfFsBEXl4r5KTicrnDRu2HvUJSvU15X2DDqqCFA6Ni4ZmoWxDqiGuBbvTsjMVyf5ekqYpzd6iWIKkKZW5wEBttBZmqbp69bBSp1qnCq0kfLqZqWrB7WsCz2PNVVVcO3I/s640/Pantallazo-1.png)
Para usar las otras dos vulnerabilidades más de lo mismo...
CVE-2010-3333
Cito a Inteco: "Desbordamiento de búfer basado en pila en Microsoft Office XP SP3, Office 2003 SP3, Office 2007 SP2, Office 2010, Office 2004 y 2008 para Mac, Office para Mac 2011 y Open XML File Format Converter para Mac permite a atacantes remotos ejecutar código de su elección mediante datos RTF manipulados, también conocido como "RTF Stack Buffer Overflow Vulnerability."
![](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEix9ZZYmYnmDvBM3OFyqzgBq9vgnt-51Rj72Z43iLhQKP4SL2ytZ3ZoiS0Xh6K0K_yi8D4zf1mY3GNqRnkr4x-qtztrybhY3baea1wZhNCH9UL0SI_GVZ2LPq06AHK91ZOdE-f2wWB2Hq4/s640/Pantallazo-2.png)
De nuevo Inteco: "Microsoft Office Excel v2002 SP3, v2003 SP3, y 2007 SP1 y SP2; Office v2004 y v2008 para Mac; Open XML File Format Converter para Macato ; Office Excel Viewer v2003 SP3; Office Excel Viewer SP1 y SP2; y Office Compatibility Pack para Word, Excel, y PowerPoint v2007 File Formats SP1 y SP2 no analiza adecuadamente el formato del fichero Excel, lo que permite a atacantes remotos ejecutar código de su elección a través de una hoja de cálculo con un registro de objeto manipulada, como "vulnerabilidad de corrupción de memoria en el registro Featheader de Excel"."
La manera de actuar para llevar a cabo el ataque es muy similar en los tres casos. Pero para que quede cristalino os adjunto un vídeo:
Bueno chicos, sed buenos y hasta que tenga otro rato de ocio, que ultimamente escasean....
Perdona mi ignorancia, pero ¿como se tendría que poner para explotarlo remotamente? ¿pones tu ip dinamica y abres un puerto? ¿o solo se puede local?
ResponderEliminarHola @anónimo,
ResponderEliminarpara realizar una conexión inversa y si tienes IP dinámicas deberías usar un servicio como dyndns o no-ip y abrir el puerto que asignes..
Saludos!
Excelente el articulo que nos compartes, un gran trabajo el logrado con este blog.
ResponderEliminar