Как замаскировать исполняемый файл под PDF-файл

PDF

Представьте, что вы пентестер, нанятый для проверки безопасности внутренней сети компании. Вам нужно выяснить, могут ли сотрудники попасться на удочку и открыть вредоносные файлы. Замаскировав вредоносное ПО под безобидный PDF, вы его отправляете фишинговой рассылкой или размещаете в общем доступе. Если сотрудник кликнет по файлу, вы получите доступ к его системе, демонстрируя уязвимость безопасности компании. Далее покажу, как создать такой поддельный PDF-файл и использовать в пентесте.

Еще по теме: Кража NTLM-хеша с помощью PDF

Подмена иконки PDF файла для запуска исполняемого файла

Вот код на C++ для создания ярлыка и иконки PDF. Программа создает ярлык Windows (.lnk файл) на рабочем столе. Ярлык указывает на исполняемый файл (в данном случае, calc.exe) и использует пользовательскую иконку.

Методы описанный в статье, предназначен для обучения пентестеров (этичных хакеров). Использование данных техник для атак на частные лица или организации без их предварительного письменного согласия является незаконным. Ни редакция spy-soft.net, ни автор не несут ответственности за ваши незаконные действия.

Инструмент включает необходимые функции Windows API, Shell API, классы ATL и стандартные библиотеки C++. Функция CreateShortcut принимает три параметра: targetPath, shortcutPath и iconPath. Она создает ярлык, который указывает на targetPath и сохраняет его как shortcutPath с указанным iconPath.

Программа инициализирует библиотеку COM для использования COM-объектов, создает объект ShellLink (IShellLink), который используется для установки свойств ярлыка, задает путь к целевому файлу и местоположение иконки, а затем сохраняет ярлык на диск с помощью интерфейса IPersistFile. После завершения операций программа деинициализирует библиотеку COM.

Для использования этого инструмента необходимо изменить две строки и перекомпилировать приложение на C++.

Замаскировать исполняемый файл PDF

Так ярлык и иконка будет выглядеть на рабочем столе:

Ярлык PDF вирус

Так ярлык и иконка будет выглядеть в проводнике Windows:

Ярлык файла вирус в проводнике

Свойства файла:

Свойства ярлыка вирус

Заключение

В статье рассмотрели технику маскировки файлов под иконку PDF — метод, используемый для обмана пользователей и запуска вирусов или других вредоносных файлов. Манипулируя внешним видом файла, мы значительно увеличиваем шансы на то, что ничего не подозревающий пользователь кликнет на него, тем самым скомпрометировав свою систему. Этот метод может быть эффективен для пентестеров.

Маскировка вредоносного файла под PDF и его распространение через фишинговые письма или общие папки может помочь выявить слабые места безопасности в сети организации.

ПОЛЕЗНЫЕ ССЫЛКИ:

QUASAR

Этичный хакер и компьютерный ниндзя. Новые статьи в нашей Телеге!

Добавить комментарий