Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Figura 1: Cmo infiltrar malware o herramientas de hacking en una empresa con Excel
Como primera prueba emprica, vamos a partirlo en dos y ver si una, ninguna o
las dos partes son detectadas por el firewall y lo bloquea o lo deja pasar. El
resultado que se obtiene es que el primer trozo, al descargarlo, es considerado
como un EXE y el segundo no:
Una vez subidas al servidor web de turno se intentan descargar y todas bajan.
Hemos conseguido descargar un EXE estando prohibido. Ahora solo queda volver
a juntar las partes para conseguir reconstruir nuestra "herramienta de
hacking" Putty.
Figura 7: A partir del Excel se descargan las partes y se monta el archivo final
Figura 8: Ejecucin de Putty con solo ejecutar la macro del fichero Excel
Proteccin en el end-point
Ya hemos conseguido que el fichero Excel con macros se baje un binario
saltndose el bloqueo de ficheros EXE en el firewall. La siguiente pregunta es si
un fichero de estas caractersticas ser muy llamativo para las protecciones
de end-point como los antivirus. Para la mayora no es significativo, pero adems
el cdigo se puede mejorar y ofuscar en diferentes iteraciones hasta que se
evada el motor antivirus en concreto que tenga la empresa objetivo de este
ataque.
Un posible problema es que el usuario si puede, tiene que habilitar las macros
para que esto funcione, pero con una campaa deSpear Phishing contra los
empleados de la empresa objetivo con este fichero Excel adjunto estarais
completamente seguros de que ningn usuario le va a dar a activar macros? Por
supuesto, existen polticas a nivel de Active Directory para que las macros vayan
firmadas, pero esto ya vimos hace tiempo que se puede saltar si el usuario
de Excel quiere o cae engaado para hacerlo, con las tcnicas de "Hacking
Remote Apps: Jailbreaking con Excel".
Owning con Metasploit
Ahora imaginad que en vez de el Putty el archivo fuera un script de Phyton
compilado a EXE con un cliente que devolviera unashell remota a travs
No quiere decir este artculo que las medidas de bloqueo de ficheros EXE en
los firewalls por los que se navega sean intiles. Ni mucho menos, proporcionan
una proteccin adecuada para evitar que el malware pueda entrar fcilmente.
Pero estas medidas deben acompaarse de muchas otras. En este caso concreto
hemos hecho una divisin del binario para evadir las firmas, pero el atacante
podra haber cifrado el fichero completamente en lugar de meterlo por partes, o
encontrar otra estrategia para saltarse el fichero.
As que, dentro de la estrategia de defensa de una empresa, habra que aplicar
medidas de proteccin a todos los niveles, yfortificar Windows correctamente,
incluidas las opciones de Excel. Este artculo, solo es un ejercicio para probar
cmo un APTpuede acabar encontrando el camino si tiene tiempo para aprender
cules son tus defensas y preparar un ataque diseado especialmente para ti. No
te olvides de eso.