Luego de leer una nota en el blog de Symantec sobre ataques con documentos maliciosos protegidos con contraseña, estuve realizando algunas pruebas de laboratorio para ver qué tan efectiva podía ser la técnica.
En este caso la idea de proteger el documento (PDF, Word, etc) con una contraseña no es evitar que el usuario pueda abrirlo, sino evitar que los antivirus puedan analizarlo. Al configurarle una contraseña el archivo queda cifrado y no es posible detectar el malware oculto o los códigos maliciosos.
Una de las pruebas que realicé fue infectar un documento PDF con un troyano ejecutable (.exe) y enviarlo a VirusTotal para ver cuántos antivirus lo detectaban con sus firmas. El resultado fue el siguiente (27/43):
La mayoría de los motores detectaron que había algo extraño oculto. Sin embargo al proteger el documento con una contraseña (se puede hacer de muchas formas incluso online con sitios como pdfprotect.net), el resultado fue muy diferente (1/43):
Lo mismo se puede hacer modificando el PDF con un exploit, como se explica en este artículo con video incluido.
Como vemos, cualquier atacante de forma muy sencilla puede convertir un documento malicioso en algo casi indetectable. Además, utilizar contraseñas le agrega un plus a la ingeniería social ya que un documento protegido le puede dar cierta confianza o seguridad a la víctima, cuando en realidad es algo está siendo utilizado en su contra.
Envío por correo electrónico:
El hecho de que los antivirus no puedan analizar el documento también facilita su propagación como adjuntos, en las siguientes capturas se pueden ver los resultados para Hotmail y Gmail al recibir el documento infectado:
Cuando el PDF se intenta descargar, Hotmail advierte al usuario avisándole que no se pudo analizar y le recomienda descargarlo únicamente si está seguro. En cambio Gmail permite descargarlo sin ningún tipo de advertencia, como si el antivirus no hubiese detectado nada (un peligro realmente):
Cabe mencionar que algo similar se puede hacer con los archivos comprimidos, por ejemplo, el documento malicioso sin cifrar se podría enviar en un ZIP con contraseña. En este caso Hotmail mostró la misma advertencia y Gmail al menos advirtió que no se pudo escanear:
Actualización: la misma prueba la hice con un PDF modificado con un exploit + contraseña, en este caso ninguno de los dos webmails alertaba cuando se realizaba la descarga del adjunto. Peor aún, el antivirus instalado tampoco detectaba el exploit cuando el documento se abría permitiendo infectar el equipo (esta prueba la hice en un Windows XP con Microsoft Security Essentials actualizado).
Así que ya sabes, si recibes un documento con contraseña ten mucho cuidado al igual que con cualquier otro adjunto no solicitado, si no sabes quién lo envía ni por qué, lo mejor es descartarlo (no abrirlo!). Obviamente que los antivirus son de mucha ayuda, hay que tener uno instalado pero no se les puede confiar el 100% de la seguridad, los atacantes siempre están buscando formas de evadirlos y muchas veces la diferencia entre infectarse o no está en el sentido común y las buenas prácticas.
Si deseas aprender más sobre estos temas te recomiendo la charla “Volviendo un PDF indetectable” de la Rooted CON 2011.
Ver también:
Eliminar la protección de los documentos PDF.