Troyanizando documento Microsoft Word mediante Macros con Metasploit

Todos hemos escuchado alguna vez o hemos utilizado Macros para la Suite de Office de Microsoft, una macro es un conjunto de instrucciones programadas, las cuales automatizan las operaciones que realiza la aplicacin ofimtica con el objetivo de eliminar tareas repetitivas o realizar clculos complejos en un corto espacio de tiempo.

Ya haba visto hace tiempo como se podra comprometer un sistema mediante estas macros, pero nunca realic ninguna prueba, despus de investigar un poco, he aprendido una buena manera de realizar este ataque.

En esta entrada os mostrar como se puede crear o modificar un documento de Microsoft Word 2013 con macros maliciosas para tomar el control sobre un sistema.

Para este ataque he utilizado el grandioso Framework Metasploit y como GUI Cobal Strike, podis descargar Metasploit de AQUI, y una licencia de prueba de 21 das de Cobalt Strike desde AQUI (la licencia tiene un coste de 2500$ anuales, de momento nos las arreglaremos con la versin de prueba).

Para comenzar este ataque, vamos a poner en marcha Metasploit desde Kali Linux.

Una vez arrancado el servicio, nos posicionamos sobre la carpeta de Cobalt Strike y lo ejecutamos para empezar a trabajar, nos aparecern varias ventanas donde podremos configurar el puerto donde trabaja, etc. Por defecto lo dejamos tal cual y esperamos (puede tardar un ratito).

En la interfaz de Cobalt Strike, nos vamos a la pestaa Attacks > Packages > MS Office Macro.

Nos aparecer una ventana, en la cual deberemos configurar el Listener, hacemos Click en el botn Add.

En mi caso lo configurar de la siguiente manera, en Host por defecto deja puesta nuestra IP Privada, este ataque voy a realizarlo sobre otra mquina de pruebas en mi red LAN, por lo tanto con mi IP Privada me vale, pero recordad que si queris realizarlo sobre otro equipo fuera de vuestra red, deberis de utilizar un DDNS como NO-IP y realizar Port Forwarding del puerto (en este caso 666) en vuestro Router hacia vuestra IP.

En Payload elegiremos windows/meterpreter/reverse_tcp y en nombre lo que queris.

Una vez configurado Click en el botn Save y despus en Generate.

La ventana anterior nos indica los pasos a seguir para copiar el cdigo malicioso generado por Cobalt Strike y pegarlo en cualquier documento Office, al hacer Click en el botn Copy Macro, se nos copiar al portapapeles la macro que deberemos copiar al documento Word.

Abrimos cualquier documento Word, y en la pestaa VISTA tenemos la opcin de Macros, Ver Macros.

Vamos a crear la macro maliciosa, en Nombre de macro le asignamos un nombre, y en Macro en: seleccionamos Documento1 (Documento).

Nos aparecer una ventana como la siguiente.

Borramos todo lo que haya, y lo sustituimos por lo que tenamos copiado en el portapapeles (Control+V), nos quedara as.

Guardamos el documento, le ponemos un nombre y el tipo deberemos de seleccionar Documento habilitado con macros de Word, como en la imagen a continuacin.

Una vez la vctima abra el archivo, le aparecer una advertencia de seguridad, si habilita el contenido (como regla general todo el mundo suele habilitarlo), tendremos acceso total a su sistema.

Una vez se ha realizado el ataque con xito, no aparecer el sistema comprometido.

Podemos ver por ejemplo, como podemos tener acceso a todos sus ficheros, tomar capturas de la cmara, capturas de escritorio o hacer un scaner ARP a su red para posteriormente hacer Pivoting y seguir atacando a mas objetivos.

Espero que os sirva de ayuda.

Un Saludo y Happy Hacking!!!!!!