Sexto Desafío de ESET

La verdad está ahí afuera, quizás en  este archivo (MD5: 388dd01cd288e670d8c6b0cffe12a303 – contraseña “eset-latinoamerica”).

  1. Mencionar los detalles de lo que sucede
  2. ¿Qué condiciones deben darse para que suceda lo anterior?
  3. ¿Qué prueba lo antes dicho?
  4. ¿Cuáles serían las medidas básicas de seguridad para evitar que ocurra eso?

Notas: los códigos no contienen rutinas que puedan dañar el sistema del usuario, quien es responsable por su participación en este desafío y se hace responsable de las pruebas que desee realizar para participar del mismo. La detección de los archivos como malware por parte de algunos antivirus corresponde a un Falso Positivo.

Tal y como en los desafíos anteriores, las respuestas deben ser dejadas en los comentarios y serán publicadas posterior a la resolución del acertijo. La primera persona en responder correctamente se llevará una Licencia del Antivirus de ESET.

Cristian

Autor , ESET

  • Darío L.

    > 1. Mencionar los detalles de lo que sucede

    Al descomprimir el archivo provisto por ESET para éste desafío se visualizan dos archivo llamados: “ingles.htm” y “latin.pdf”.

    Al llamar al archivo “ingles.htm” el IE impide la ejecución de código ActiveX, si le permitimos la ejecución se genera en el raíz del disco un archivo llamado “a . vbs”.

    Cuando abrimos el archivo “latin.pdf” el mismo intenta buscar el archivo previamente generado por el htm : “c: \ a.vbs”, ejecutando el script contenido en ese archivo que abre una ventana con el mensaje: “ESPECTACULAR!”

    > 2. ¿Qué condiciones deben darse para que suceda lo anterior?

    – Haber llamado primero al archivo .htm y haber confirmado la ejecución del código ActiveX y posteriormente haber llamado al archivo .pdf

    > 3. ¿Qué prueba lo antes dicho?

    – Que se podría haber generado un script malicioso desde un htm con ActiveX y luego ejecutar el mismo con la lectura de un simple pdf.

    > 4. ¿Cuáles serían las medidas básicas de seguridad para evitar que ocurra eso?

    – No dar permiso de ejecución de los controles ActiveX cuando navegamos por sitios que no son de confianza.

    También tenemos otra serie de medidas como:
    – Usar FF en lugar de IE
    – Usar Zonas de Internet Explorer
    – Usar Kill bit
    – Deshabilitar la ejecución de JavaScript
    – ActiveX Opt-In
    etc.

    Saludos!
    Saludos!

  • Carlos García

    El archivo “desafio-6-eset.zip” contiene 2 archivos:
    ingles.htm y latin.pdf.

    Ingles.htm – contiene un script escrito en “Visual Basic Script” que creará el archivo “c:a.vbs” y dentro escribirá una única línea de programación (“Wscript.Echo “ESPECTACULAR!”).

    Luego al abrir latin.pdf, este ejecutará el archivo c:a.vbs, logrando que este realice la única acción que tiene programada y que no es maliciosa: mostrar el mensaje ” ESPECTACULAR!”

    Análisis.- si hubieras abierto los archivos la primera vez en orden inverso. Es decir primero “latin.pdf” y luego “ingles.htm”, un usuario común estaría un poco despistado pues al parecer no sucede nada extraño. Pero comenzará a sospechar la segunda vez que abra el PDF ya que ahora se muestrará el mensaje de texto “ESPECTACULAR!”.

    Resumen.- los programas de uso mas frecuente “navegador” y “lector de PDF”, pueden ser explotados para la activación y propagación de virus informáticos.

  • Carlos García

    Sorry!! faltó incluir.
    y como medida de seguridad básica. El usuario debería tener actualizado mínimamente los programas involucrados (navegador y lector PDF) antes siquiera de pensar en abrir estos archivos, ya que las actualizaciones corrigen huecos o fallos de seguridad en los programas actualizados.

    Además tener actualizado el antivirus y no estaría demás haber analizado los archivos sospechosos previamente con el. Aunque esto podría ser opcional ya que al descomprimir el ZIP la vacuna en tiempo real del antivirus “debería” haber analizado los mismos de forma automática.

  • Hola

    Este es el resumen del analisis:

    1) El codigo del html crea el archivo a.vbs en la unidad c: el cual contiene solo una linea de codigo: Mostrar en un messagebox el mensaje “ESPECTACULAR”.

    2) Para que suceda lo anterior debemos usar el internet explorer con la opcion de ejecutar controles scripts.

    3) Si usamos algun otro navegador el archivo a.vbs no es creado. (Al menos eso pasa con Firefox) Si no activamos los scripts tampoco es creado.

    4) Para evitar que esto suceda en el caso de internet explorer solo se deberia activar la ejecucion de scripts si es realmente necesaria y viene de una fuente confiable. En todo caso ver si es posible realizar la operacion que se necesita o ver la pagina sin el uso scripts.

    Nota: Al pdf que viene en el desafío no le vi ninguna utilidad.

    Como vemos, el solo hecho de visitar una pagina con una mala configuracion de seguridad puede traer negativas consecuencias para el sistema.

    Saludos
    Miguel Febres

  • Sexto Desafío.

    ///El archivo HTML

    Al ser ejecutado este crea en la Raíz de “C:”
    El archivo “c:\a.vbs” luego lo abre y escribe el contenido “ESPECTACULAR!”.
    Esto al ser didáctico no tiene contenido destructivo.Pero se podría agregar cualquier tipo de instrucciones Visual Basic
    Script.

    ///Acrobat Reader

    Acrobat para que se pueda ejecutar debe estar activada.
    Preferencias > Administrador de Confianza > Permitir la apertura de archivos adjuntos no PDF con aplicaciones externas.

    Para que no este permitido este tipo de acciones debe estar destildado.
    *Permitir la apertura de archivos adjuntos no PDF con aplicaciones externas

    Se puede comprobar fácilmente abrirlo con un Editor Hexa y buscar la cadena “(Open)>>”
    .

    <<
    /Type /OpenAction
    /S /Launch
    /Win <>
    >>
    endobj

    Esto trata de ejecutar el archivo “a.vbs” del directorio de la unidad de disco C:

    Con versiones reciente. Superior a la v8.0.

    Uno puede agregar comandos en la sección RI:(” de los PDF comandos.
    Ej:
    C:windows/system32net.exe user RDGMax RDGMax /add

    -Esto agrega un Usuario al sistema llamado “RDGMax” con password “RDGMax” de manera silenciosa.

    //Síntesis

    El archivo .HTM crea el archivo con el contenido y el pdf lo ejecuta.

    //En la vida cotidiana uno ingresa a un sitio y sin saber puede ser victima de estos métodos. A uno se le ofrece descargar un
    Seguro archivo “PDF” conteniendo información relativa a nuestro interés.

    Por eso Tener nuestro programas configurado con cierto nivel de seguridad. Con moderación a los “Scripts”.

    PD:Me entere a las 19:09Hs de Argentina.

    Saludos RDGMax.

  • Emiliano

    El fichero ingles.htm contiene un script que crea un archivo llamado a.vbs en la raiz del disco c:, el mismo al ejecutarse muestra un cartel con la leyenda “ESPECTACULAR!”, pero este no es ejecutado hasta que no se abra el archivo latin.pdf el cual requiere que se ejecute a.vbs.
    Es decir, es necesario que se halla visualizado ingles.htm al menos una vez, antes de que se visualize latin.pdf sino el archivo c:a.vbs no existiria y por lo tanto no se ejecutaria.

    Script decodificado de ingles.htm:

    Set objFile = objFSO.CreateTextFile(“c” + “:” + “\” + “a” + “.” + “v” + “b” + “s”) -> c:a.vbs
    Set objFile = nothing
    Set objTextFile = objFSO.OpenTextFile (“c” + “:” + “\” + “a” + “.” + “v” + “b” + “s”, 2, True) -> c:a.vbs
    objTextFile.WriteLine(“Wscript.Echo ” + “”” + “ESPECTACULAR!” + “””) -> “ESPECTACULAR!”

    El cual crea el archivo a.vbs con el siguiente contenido:
    Wscript.Echo “ESPECTACULAR!”

    El archivo en pdf contiene las siguientes lineas:
    /Type /OpenAction
    /S /Launch
    /Win <>

    Las cuales ejecutan a.vbs.

  • Emiliano

    Bueno por lo visto wordpress se quedo con un pedacito de codigo de la ultima parte, despues de Win iba esta instruccion.
    /F (c:\a.vbs) /O (Open)

  • Emiliano

    Me olvide de responder la ultima pregunta, las medidas de seguridad para evitar esto serian: no permitir el contenido ActiveX o usar un navegador que no lo soporte, y tener cuidado al abrir un fichero pdf.

  • Karcrack

    [+]ingles.html
    1-Crea un *.vbs en C:\a.vbs
    2-Añade a este fichero la siguiente cadena:
    Wscript.Echo “ESPECTACULAR!”
    [+]latin.pdf
    1-Ejecuta “C:\a.vbs” (Solo lo hace con el Adobe Acrobat Reader)
    “<<
    /Type /OpenAction
    /S /Launch
    /Win <>
    >>”

    Saludos ;)

  • Karcrack

    Se me olvido mencionar que lo de crear el fichero mediante el .htm solo funciona con Iexplore, o eso parece..

Síguenos