Inicio / Para Expertos / Macro Pack: automatizar la ofuscación y la generación de documentos maliciosos de Office

Macro Pack: automatizar la ofuscación y la generación de documentos maliciosos de Office

Las tendencias de entrega de malware cambian todos los días. Durante los últimos años, hemos observado que varios grupos de hackers, como (APT12 a Turla), utilizan diversas técnicas para distribuir malware en el sistema o la red.

Una de las mejores técnicas que usan los grupos de hackers es escribir código malicioso y ofuscarlo e incrustarlo con documentos de Office y entregarlo a la víctima a través de la ingeniería social (Archivo adjunto de Spearphishing).

Falta de conocimiento de los resultados del usuario con (Comprometer el sistema al movimiento lateral en la red). Veamos el paquete de herramientas Macro para automatizar la incorporación de código malicioso en documentos de Office.

Aquí hemos utilizado Kali Linux (Attacker Machine) y Victim Machine (Windows 10)

Puede descargar el paquete de macros desde GitHub.

Máquina atacante: –

Macro Pack

Metasploit es una muy buena herramienta para comprender la lógica de ataque e infectar documentos de Word o Excel con cargas maliciosas de Metasploit.
Generaramos el código malicioso de VBA con Msfvenom.

Macro Pack

Aquí se creado una carga útil para VBA que se puede incrustar en Office Document y una vez que una víctima abre un archivo DOCX malicioso, la conexión inversa debe volver a conectarse a la máquina atacante para acceder y controlar la estación de trabajo de la víctima en el puerto 443.

Generación de documento:

Macro Pack

-f = input-file=INPUT_FILE_PATH A VBA macro file or file containing params

-o = obfuscate Same as ‘–obfuscate-form –obfuscate-names –obfuscate-strings

-G = generate=OUTPUT_FILE_PATH.

La mayoría de los programas antivirus pueden leer fácilmente el código y el bloque sin procesar del atacante, por lo que se utilizó el parámetro -o para ofuscar la carga maliciosa de VBA.
La decodificación del código ofuscado es bastante difícil para la mayoría de los proveedores de antivirus.

¡Ahora su documento armado está listo para usarse!

Iniciando Metasploit:

Tan pronto como la víctima haga clic en el documento malicioso “hikeletter.docx”, el atacante debería tener acceso completo a la estación de trabajo de la víctima.

Atacante que accede a la estación de trabajo de la víctima

¡Víctima comprometida y acceso completo al sistema obtenido! ¡Shell! ¡Shell! ¡Shell!
De acuerdo con la siguiente matriz MITER ATT & CK, un atacante puede hacer un movimiento lateral a la exfiltración de datos.

Macro Pack

 

 

Analisis en Virus Total:

Se subió el archivo a Virus total y se encontró detección para 29/60. Otros proveedores dicen que este documento es una categoría limpia o no detectada.

Macro Pack

Macro Pack

 

Los malware file less son desafiantes y evolucionan más rápido. Se abusa de la utilidad de Windows (Powershell) en etapas posteriores para ejecutar un ejecutable en el almacenamiento local del sistema o ejecutar el código en la memoria misma.

Recuerde que lo mejor es Implementar las mejores soluciones de seguridad de correo electrónico para bloquear correos electrónicos o archivos no solicitados. es importante concientizar a los empleados con ejercicios internos de phishing.

 

Vea También

Pruebas de penetración de cajeros automáticos: métodos de prueba avanzados para encontrar las vulnerabilidades

Pruebas de penetración de cajeros automáticos, los piratas informáticos han encontrado diferentes enfoques para piratear …

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.