Documentos con contraseña utilizados para burlar a los antivirus

Luego de leer una nota en el blog de Symantec sobre ataques con documentos maliciosos protegidos con contraseña, estuve realizando algunas pruebas de laboratorio para ver qué tan efectiva podía ser la técnica.

En este caso la idea de proteger el documento (PDF, Word, etc) con una contraseña no es evitar que el usuario pueda abrirlo, sino evitar que los antivirus puedan analizarlo. Al configurarle una contraseña el archivo queda cifrado y no es posible detectar el malware oculto o los códigos maliciosos.

pdf-infectado-contrasena

Una de las pruebas que realicé fue infectar un documento PDF con un troyano ejecutable (.exe) y enviarlo a VirusTotal para ver cuántos antivirus lo detectaban con sus firmas. El resultado fue el siguiente (27/43):

vt-pdf-infectado

La mayoría de los motores detectaron que había algo extraño oculto. Sin embargo al proteger el documento con una contraseña (se puede hacer de muchas formas incluso online con sitios como pdfprotect.net), el resultado fue muy diferente (1/43):

pdf-protegido-infectado

Lo mismo se puede hacer modificando el PDF con un exploit, como se explica en este artículo con video incluido.

Como vemos, cualquier atacante de forma muy sencilla puede convertir un documento malicioso en algo casi indetectable. Además, utilizar contraseñas le agrega un plus a la ingeniería social ya que un documento protegido le puede dar cierta confianza o seguridad a la víctima, cuando en realidad es algo está siendo utilizado en su contra.

Envío por correo electrónico:

El hecho de que los antivirus no puedan analizar el documento también facilita su propagación como adjuntos, en las siguientes capturas se pueden ver los resultados para Hotmail y Gmail al recibir el documento infectado:

advertencia-hotmail-pdf

Cuando el PDF se intenta descargar, Hotmail advierte al usuario avisándole que no se pudo analizar y le recomienda descargarlo únicamente si está seguro. En cambio Gmail permite descargarlo sin ningún tipo de advertencia, como si el antivirus no hubiese detectado nada (un peligro realmente):

pdf-infectado-gmail

Cabe mencionar que algo similar se puede hacer con los archivos comprimidos, por ejemplo, el documento malicioso sin cifrar se podría enviar en un ZIP con contraseña. En este caso Hotmail mostró la misma advertencia y Gmail al menos advirtió que no se pudo escanear:

zip-contrasena-gmail

Actualización: la misma prueba la hice con un PDF modificado con un exploit + contraseña, en este caso ninguno de los dos webmails alertaba cuando se realizaba la descarga del adjunto. Peor aún, el antivirus instalado tampoco detectaba el exploit cuando el documento se abría permitiendo infectar el equipo (esta prueba la hice en un Windows XP con Microsoft Security Essentials actualizado).

Así que ya sabes, si recibes un documento con contraseña ten mucho cuidado al igual que con cualquier otro adjunto no solicitado, si no sabes quién lo envía ni por qué, lo mejor es descartarlo (no abrirlo!). Obviamente que los antivirus son de mucha ayuda, hay que tener uno instalado pero no se les puede confiar el 100% de la seguridad, los atacantes siempre están buscando formas de evadirlos y muchas veces la diferencia entre infectarse o no está en el sentido común y las buenas prácticas.

Si deseas aprender más sobre estos temas te recomiendo la charla “Volviendo un PDF indetectable” de la Rooted CON 2011.

Ver también:
Eliminar la protección de los documentos PDF.

4 comentarios en «Documentos con contraseña utilizados para burlar a los antivirus»

  1. Quién lo diría, ClamAV fue el único que pasó las dos primeras pruebas. Siempre pensé que ese antivirus era de los más malitos. :D

    La última prueba donde perdió MSE la hubieras hecho con ClamAV a ver si la pasaba. Si lo hace, creo que voy a empezar a recomendarlo, o a Immunet que tengo entendido que es el antivirus residente que usa sus definiciones de virus.

    Responder
    • A mi también me llamó la atención, pero más allá de eso es sólo un tipo de ataque de los miles diferentes que hay al día… es normal que algunos detecten mejor una cosa y otros otra. Para compararlos hay que hacer miles de pruebas como lo hacen en av-comparatives.org.

      No iba a mencionar que la prueba era con MSE, pero bueno, la idea era hacer entender que el antivirus (sea cual sea) no siempre para todos los ataques y es fundamental ayudarlos con sentido común y buenas prácticas.

      Responder
  2. hola buen aporte pero hay algo que no entiendo: que es lo que puede llegar en esos tipos de documentos infectados osea entiendo que son virus pero que hacen dentro de una conputadora solo ponerla lenta ???? o rrobar unformacion o que algien pueda manipular el equipo sin darme cuenta???

    un tema muy interesante y gracias por la unformacion y alproposito me sirvio muchisimo y te lo agradesco ese programa de driver me ayudo mucho gracias.

    Responder
    • Puede venir cualquier cosa, una vez que la PC se infecta el atacante puede hacer lo que quiera.

      En estos ejemplos estaba usando un programa (troyano) que al infectar la máquina me permitía acceder desde otra computadora a todos los archivos, instalar y desinstalar programas, controlar la webcam, etc. Generalmente infectan máquinas para enviar desde ellas spam, aprovechando su conexión a internet, también alojan archivos o las utilizan como proxy para cometer delitos de forma anónima. Pueden hacer muchas otras cosas, el robo de información también es posible, generalmente buscan tarjetas de crédito, datos de cuentas bancarias y contraseñas.

      Muchos usuarios se despreocupan pensando «total… yo no tengo nada que me pueda robar…» pero en la mayoría de los casos eso es lo de menos, a los atacantes no les interesa lo que hagas o quién seas, lo que quieren es infectar máquinas para transformarlas en bots y aprovecharlas para realizar otros ataques, hay un negocio muy grande en torno a las botnets.

      Que funcione lenta es un efecto secundario del ataque no el fin en sí, al infectarse en segundo plano o de forma oculta se están ejecutando programas que consumen recursos (CPU, RAM, banda ancha) y por eso la PC se pone lenta. Incluso hay virus que eliminan a otros virus de la competencia para evitar el excesivo consumo de recursos y así pasar desapercibidos por más tiempo :)

      Responder

Deja un comentario