Приветствую форумчан!
Сейчас в сети полно видосиков от мамкиных формошлепов, которые во всю продают софтины (а по факту текст ченджеры) для епичного хекинга.
Иногда вашему покорному слуге интересно залипнуть на то что сейчас в тренде в категории "хак тул до 100$".
Довольно часто герои видеороликов используют паблик файлообменники для теста своих чудо похеков. собственно чаще всего на этом просмотр можно заканчивать и начинать пробовать ссылки для поиска вкусного.
Скорее всего данный експлоит давно паблик, тем не менее тут его не увидел, так что разбираем PDF от мамкиного хакера. кстати, сервер хакера с вкусняхами уже потушен, так что думаю IP можно палить, плюс содержимое сервера на момент исследования будет в аттачменте.
1) открываем файл блокнотом и видем секцию которая нам интересна.
2) в принципе ничего нового, команда вполне читаема и смысл понятен. при желании мастерим свой батник и балуемся как нам удобнее. запоминаем про себя часть /F (CMD)
ну и название файла который ляжет в %TEMP% так же - msd89h2j389uh.bat
3) подготовим виртуалку. в моем случае это WIN 10, Avast antivirus free, Foxit Reader (latest for AUG 2023)
4) модифицируем наш ПДФ, вернее его урлу под свой файл. в моем случае ХТТПС заработало аналогично ХТТП
5) сохраняем и открываем фоксит ридером. в моем случае просто бадл клик по файлу.
6) видим предупреждения от самого ридера
не важно что выбираем, попадаем на следующее окно с предупреждением
где можем указать свой кастомный текст , если вспомним ту часть ПДФника - /F (CMD)
7) в финале нашего примера, ПДФник создает батник в %TEMP%, батник загружает файл и выполняет его. при этом аваст абсолютно спокойно смотрит на это все с включенными экранами безопасности и дает выполнять этот ЕХЕ или что угодно, которое нам только что выкачал с сети батник.
По вирустоталу наш ПДФник выдает 13\60, в основном ноунеймы(для меня) детектят.
ВАЖНО!
файл пример ПДФ - реальный файл нашего любителя поснимать видео, как и все аттачи с его сервера - тоже реальны и вполне могут нести угрозу вашему ПК.
играем с файлами только на виртуалке !
Сам ПДФник с примера
содержимое сервера нашего хакера (может кто что накопает мало ли)
многим ничего новго не открыл, но как минимум рабочий PDF експлоит под винду даже по состоянию на сегодня (что удивило).
Всем удачи!
Сейчас в сети полно видосиков от мамкиных формошлепов, которые во всю продают софтины (а по факту текст ченджеры) для епичного хекинга.
Иногда вашему покорному слуге интересно залипнуть на то что сейчас в тренде в категории "хак тул до 100$".
Довольно часто герои видеороликов используют паблик файлообменники для теста своих чудо похеков. собственно чаще всего на этом просмотр можно заканчивать и начинать пробовать ссылки для поиска вкусного.
Скорее всего данный експлоит давно паблик, тем не менее тут его не увидел, так что разбираем PDF от мамкиного хакера. кстати, сервер хакера с вкусняхами уже потушен, так что думаю IP можно палить, плюс содержимое сервера на момент исследования будет в аттачменте.
1) открываем файл блокнотом и видем секцию которая нам интересна.
Скрытое содержимое доступно для зарегистрированных пользователей!
2) в принципе ничего нового, команда вполне читаема и смысл понятен. при желании мастерим свой батник и балуемся как нам удобнее. запоминаем про себя часть /F (CMD)
ну и название файла который ляжет в %TEMP% так же - msd89h2j389uh.bat
3) подготовим виртуалку. в моем случае это WIN 10, Avast antivirus free, Foxit Reader (latest for AUG 2023)
4) модифицируем наш ПДФ, вернее его урлу под свой файл. в моем случае ХТТПС заработало аналогично ХТТП
5) сохраняем и открываем фоксит ридером. в моем случае просто бадл клик по файлу.
6) видим предупреждения от самого ридера
не важно что выбираем, попадаем на следующее окно с предупреждением
где можем указать свой кастомный текст , если вспомним ту часть ПДФника - /F (CMD)
7) в финале нашего примера, ПДФник создает батник в %TEMP%, батник загружает файл и выполняет его. при этом аваст абсолютно спокойно смотрит на это все с включенными экранами безопасности и дает выполнять этот ЕХЕ или что угодно, которое нам только что выкачал с сети батник.
По вирустоталу наш ПДФник выдает 13\60, в основном ноунеймы(для меня) детектят.
ВАЖНО!
файл пример ПДФ - реальный файл нашего любителя поснимать видео, как и все аттачи с его сервера - тоже реальны и вполне могут нести угрозу вашему ПК.
играем с файлами только на виртуалке !
Сам ПДФник с примера
Скрытое содержимое доступно для зарегистрированных пользователей!
содержимое сервера нашего хакера (может кто что накопает мало ли)
Скрытое содержимое доступно для зарегистрированных пользователей!
многим ничего новго не открыл, но как минимум рабочий PDF експлоит под винду даже по состоянию на сегодня (что удивило).
Всем удачи!