domingo, 8 de marzo de 2015

Evadir el filtrado de extensiones ejecutables en Google Groups

En el post anterior comentaba como hacer phishing con Google Groups usando los archivos adjuntos. Hoy veremos algo un poco más interesante }:]

Vaya por delante que lo expuesto en este post fue reportado al equipo de seguridad de Google y ellos concluyeron que o bien no se trata de un fallo de seguridad o su impacto es muy pequeño.

Los archivos prohibidos 

Como medida de seguridad para prevenir la difusión de malware, Google no permite adjuntar archivos ejecutables en Gmail. La lista completa de extensiones no permitidas puede verse en el siguiente enlace:

https://support.google.com/mail/answer/6590?hl=en

Si bien el enlace anterior no dice nada sobre Google Groups, lo cierto es que Google Groups tampoco permite adjuntar ficheros con dichas extensiones.

Fig. 1 -  Fichero "evil.bat" bloqueado.


El Bug

Sin embargo, luego de algunas pruebas en Google Groups, descubrí una forma de burlar el filtro de extensiones para poder adjuntar cualquier tipo de fichero ejecutable.

El truco es muy simple. Únicamente debemos añadir un ";" (punto y coma) al final del nombre del fichero. Por ejemplo, si nuestro malware se llama "evil.bat" le cambiamos el nombre a "evil.bat;". Luego lo adjuntamos y enviamos. Veremos que aparece en la conversación como "evil.bat;".

Fig. 2 - Fichero "evil.bat;" adjunto.

Pero cuando lo descarguemos el ";" al final será suprimido y se guardará en nuestro equipo como "evil.bat" }:]

Fig. 3 - Evasión de extensiones ejecutables en Google Groups.

PoC

La siguiente prueba de concepto realiza la descarga de un archivo "evil.bat" que ejecuta el código más terrorífico y malicioso del multiverso. Se recomienda discreción ;)

https://groups.google.com/group/googleaccounts/attach/1c3dff0dc14cf6d8/evil.bat;?part=0.1&authuser=0

Un saludo.

3 comentarios:

  1. Nooo!! una calculadora embrujada XD
    Jejejeje, muy bueno el post.

    ResponderEliminar
  2. Me dañaste mi equipo con ese archivo :s

    ResponderEliminar
  3. jajajajja gran post, me asustaste un poco con la calcuvirus, saludos :D

    ResponderEliminar