Bad-PDF — атака посредством зараженного PDF файла

[Carding 4 Carders]

Для осуществления атаки достаточно сгенерировать и отправить PDF файл цели.

Сегодня разберемся с относительной новой утилитой Bad-PDF от Deepzec и ее возможность украсть данные NTLM и хеши оконных приложений. Пока он не обнаруживается большинством антивирусов. Код размещен на ГитХабе примерно 10 дней назад.

По мнению исследователей Check Point, вместо того, чтобы использовать уязвимость в файлах Microsoft Word или обработку RTF-файлов Outlook, злоумышленники используют функцию, позволяющую встраивать удаленные документы и файлы в файл PDF. Затем злоумышленник может использовать это, чтобы вставлять вредоносный контент в PDF-файл, поэтому, когда этот PDF-файл открывается, объект автоматически течет учетные данные в виде хешей NTLM.

Как провести атаку?​

Запускаем стандартные команды. Я проводил тестирование на Kali Linux:

# git clone https://github.com/deepzec/Bad-Pdf.git# cd Bad-Pdf# chmod +x badpdf.py# python badpdf.py

После этого откроется окно с диалоговым меню. Для работы нам нужно знать IP нашей цели, интерфейс и название файла. После запуска нам необходимо ввести путь респондера, если он не определятся автоматически:

/usr/sbin/responder // 1

Далее указываем IP-адрес (2), название файла (3), и выбираем интерфейс(4). После этого запускается процесс. Если у вас возникают ошибки, возможно указан неправильно интерфейс или его лучше вписать ручками.

Если все получилось, переходим к следующему этапу. Нам нужно доставить файл нашей цели. Он находиться в корне папки Bad-Pdf. Это можно сделать через почту, социальные сети или другим способом. Я воспользовался почтой и отправил потенциальной цели.

Далее ждем запуска. После успешной атаки сразу получаем NTML данные. Примем можно увидеть на скриншоте:

Таким образом, после успешного завершения мы получаем данные в NTLMv2.

Как можно применять данную уязвимость?​

pth-winexe​

Дело в том, что эта атака более актуальная в корпоративных сетях. В двух версиях протокола NTLM есть большая уязвимость. Для аутентификации достаточно знать только хеш пользователя. Таким образом, получив хеш как показано выше, можно пользоваться всеми преимуществами сети скомпроментированного юзера. Данная методолгия называеться Pass The Hash и первый раз применялась в 1997 году. Самый популярный для реализации этой таки набор утилит Pass-the-Hash Toolkit. Остановимся детальней на pth-winexe, который есть с коробки в Kali Linux.

FreeRDP​

Еще одна утилита из набора — FreeRDP. Это консольный клиент удаленного рабочего стола (Remote Desktop Protocol). Одна из особенностей клиента — это возможность использовать хэша пароля, вместо самого пароля.

Пример команды:

xfreerdp /d:win2012/uffcec/pth:8846F7EAEE8FB117AD06BDD830B7586C /v:192.168.0.1

где после /d: — имя домена,

после /u: — имя пользователя,

после /pth: — хеш,

после /v: — IP сервера.

Windows vs Microsoft​

Также современные версии операционной системы Windows предлагают вам создать аккаунт Microsoft. Понимаете цепочку? Что получив возможность авториpоваться в вашей локальной учетной записи с помощью утилиты Bad-Pdf можно пойти дальше упражняться и получить доступ к почте, Skype и других сервисах Microsoft, которые будут использоваться. Поэтому данная уязвимость очень интересная и имеет большой круг применения.

Заключение​

Лучше несколько раз проверять ссылки и файлы, которые вы открываете. Это очень важно, так как одно такое открытие может предоставить все данные для хакера. Используйте виртуальные машины, а также шифрование данных во всех случаях. В этом случае достаточно отключить возможность NTLM соединения в групповой политике.