Escenario
El formato PDF es el estándar de facto en el intercambio de documentos en
línea. Sin embargo, esta popularidad también ha atraído a los ciberdelincuentes
a la hora de propagar malware a usuarios desprevenidos. La capacidad de generar
archivos pdf maliciosos para distribuir malware es una funcionalidad que se ha
incorporado a muchos kits de exploits. Como los usuarios son menos precavidos a
la hora de abrir archivos PDF, el archivo PDF malicioso se ha convertido en un
vector de ataque bastante exitoso. El tráfico de red capturado en lala.pcap
contiene tráfico de red relacionado con un ataque típico de archivo PDF
malicioso, en el que un usuario desprevenido abre una página web comprometida,
que redirige el navegador web del usuario a una URL de un archivo PDF
malicioso. Cuando el complemento PDF del navegador abre el PDF, se aprovecha la
versión sin parches de Adobe Acrobat Reader y, como resultado, descarga e
instala silenciosamente malware en la máquina del usuario.
Pregunta
¿Cuántas
rutas de URL están involucradas en este incidente?
La cantidad de URL que están involucradas en este incidente son 6 URL. Esta
evidencia se obtuvo analizando el archivo lala.pcap con la herramienta t-shark.
¿Cuál
es la URL que contiene el código JS?
La URL que contine el código JS es http://blog.honeynet.org.my/forensic_challenge/, esta evidencia se obtuvo analizando el archivo lala.pcap con la herramienta WireShark.
¿Cuál
es la URL oculta en el código JS?
Al revisar el siguiente flujo de red se observan la siguiente solicitud que
es ejecutada por script javascript.
¿Cuál es el hash MD5 del archivo PDF contenido en el
paquete?
El hash MD5 del PDF es 659cf4c6baa87b082227540047538c2a. La evidencia se
obtuvo con la herramienta NetWorkMine para extraer el archivo PDF para luego
calcular su hash.
¿Cuántos
objetos hay dentro del archivo PDF?
En el archivo PDF contiene 19 objetos. La evidencia se obtiene con la
herramienta pdfid.
¿Cuántos esquemas de filtrado se utilizan para los
flujos de objetos?
El número de esquema de filtrado son 4, la evidencia se obtuvo utilizando
la herramienta pdf-parser –search filter fcexploit.pdf.
¿Cuál es el número del 'flujo de objetos' que podría
contener código JS malicioso?
El número de flujo de objetos que podrían contener código JS malicioso es 5. La evidencia se obtuvo utilizando la herramienta peepdf.
Analizando el archivo PDF. ¿Qué 'secuencias de
objetos' contienen el código JS responsable de ejecutar los códigos de shell?
El código JS se divide en dos flujos.
Las secuencias de objetos que contiene código JS es el
objeto 7,9. La evidencia se obtuvo con la herramienta peepdf y cyberchef. Prime
se extrajo los stream de los objetos 7,9 con peefpd para luego con la
herramienta cyberchef decodificarlos como resultado se obtuvo los flujos de
código JS.
El código JS responsable de ejecutar el exploit contiene shellcodes que sueltan archivos ejecutables maliciosos. ¿Cuál es la ruta completa de los archivos ejecutables maliciosos después de que el malware los coloca en la máquina de la víctima?
La ruta completa de los archivos ejecutables malicioso después de que el
malware los coloca en la máquina de la víctima es c:\WINDOWS\system32\a.exe.
La evidencia se obtuvo con la herramienta peedpf.
El archivo PDF contiene otro exploit relacionado con
CVE-2010-0188. ¿Cuál es la URL del ejecutable malicioso que arroja el código
shell asociado con este exploit?
La URL del ejecutable malicioso que arroja el código Shell asociado con
este esploit es http://blog.honeynet.org.my/forensic_challenge/the_real_malware.exe.
La evidencia se obtuvo analizando el archivo lala.pcap en el se observa la
petición a la URL donde se descarga el ejecutable.
¿Cuántos
CVE se incluyen en el archivo PDF?
El archivo PDF contine 5 CVE. Esta evidencia se obtuvo realizando un
análisis manual del código JS desofuscar.
Comentarios
Publicar un comentario