Phishing Files & Documents
Office Dokumente
Microsoft Word voer lêerdata-validasie uit voordat dit 'n lêer oopmaak. Data-validasie word uitgevoer in die vorm van data-struktuuridentifikasie, teen die OfficeOpenXML-standaard. As enige fout tydens die data-struktuuridentifikasie voorkom, sal die lêer wat geanaliseer word nie oopgemaak word nie.
Gewoonlik gebruik Word-lêers wat makros bevat die .docm
uitbreiding. Dit is egter moontlik om die lêer te hernoem deur die lêeruitbreiding te verander en steeds hul makro-uitvoeringsvermoëns te behou.
Byvoorbeeld, 'n RTF-lêer ondersteun nie makros nie, volgens ontwerp, maar 'n DOCM-lêer wat na RTF hernoem is, sal deur Microsoft Word hanteer word en sal in staat wees tot makro-uitvoering.
Die same interne en meganismes geld vir alle sagteware van die Microsoft Office Suite (Excel, PowerPoint, ens.).
Jy kan die volgende opdrag gebruik om te kyk watter uitbreidings deur sommige Office-programme uitgevoer gaan word:
DOCX-lêers wat 'n eksterne sjabloon verwys (Lêer – Opsies – Byvoegsels – Bestuur: Sjablone – Gaan) wat makros insluit, kan ook makros “uitvoer”.
Eksterne Beeld Laai
Gaan na: Voeg in --> Vinne Onderdeel --> Veld Kategoriewe: Skakels en Verwysings, Veldname: includePicture, en Lêernaam of URL: http://<ip>/whatever
Makros Agterdeur
Dit is moontlik om makros te gebruik om arbitrêre kode vanaf die dokument uit te voer.
Outomatiese laai funksies
Hoe meer algemeen hulle is, hoe meer waarskynlik sal die AV hulle opspoor.
AutoOpen()
Document_Open()
Makros Kode Voorbeelde
Verwyder metadata handmatig
Gaan na File > Info > Inspect Document > Inspect Document, wat die Document Inspector sal oopbring. Klik op Inspect en dan Remove All langs Document Properties and Personal Information.
Doc-uitbreiding
Wanneer jy klaar is, kies Save as type dropdown, verander die formaat van .docx
na Word 97-2003 .doc
.
Doen dit omdat jy nie makro's binne 'n .docx
kan stoor nie en daar is 'n stigma rondom die makro-geaktiveerde .docm
uitbreiding (bv. die miniatuurikoon het 'n groot !
en sommige web/e-pos poorte blokkeer hulle heeltemal). Daarom is hierdie erf .doc
uitbreiding die beste kompromie.
Kwaadwillige Makro Generators
MacOS
HTA Lêers
'n HTA is 'n Windows-program wat HTML en skriptaal (soos VBScript en JScript) kombineer. Dit genereer die gebruikerskoppelvlak en voer uit as 'n "volledig vertroude" toepassing, sonder die beperkings van 'n blaaiers se sekuriteitsmodel.
'n HTA word uitgevoer met mshta.exe
, wat tipies geïnstalleer word saam met Internet Explorer, wat mshta
afhanklik maak van IE. So as dit verwyder is, sal HTA's nie in staat wees om uit te voer nie.
Dwing NTLM-outeentrekking
Daar is verskeie maniere om NTLM-outeentrekking "afgeleë" te dwing, byvoorbeeld, jy kan on sigbare beelde by e-posse of HTML voeg wat die gebruiker sal toegang hê tot (selfs HTTP MitM?). Of stuur die slagoffer die adres van lêers wat 'n outeentrekking net vir die oopmaak van die gids sal aktiveer.
Kyk na hierdie idees en meer op die volgende bladsye:
Force NTLM Privileged AuthenticationPlaces to steal NTLM credsNTLM Relay
Moet nie vergeet dat jy nie net die hash of die outeentrekking kan steel nie, maar ook NTLM relay-aanvalle kan uitvoer:
Last updated