Phishing Files & Documents
Office Documents
Microsoft Word esegue la convalida dei dati del file prima di aprirlo. La convalida dei dati viene eseguita sotto forma di identificazione della struttura dei dati, rispetto allo standard OfficeOpenXML. Se si verifica un errore durante l'identificazione della struttura dei dati, il file in analisi non verrà aperto.
Di solito, i file Word contenenti macro utilizzano l'estensione .docm
. Tuttavia, è possibile rinominare il file cambiando l'estensione e mantenere comunque le capacità di esecuzione delle macro.
Ad esempio, un file RTF non supporta le macro, per design, ma un file DOCM rinominato in RTF sarà gestito da Microsoft Word e sarà in grado di eseguire macro.
Gli stessi interni e meccanismi si applicano a tutto il software della Microsoft Office Suite (Excel, PowerPoint, ecc.).
Puoi utilizzare il seguente comando per controllare quali estensioni verranno eseguite da alcuni programmi Office:
DOCX files referencing a remote template (File –Options –Add-ins –Manage: Templates –Go) that includes macros can “execute” macros as well.
Caricamento Immagine Esterno
Vai a: Inserisci --> Parti Veloci --> Campo Categorie: Collegamenti e Riferimenti, Nomi dei file: includePicture, e Nome file o URL: http://<ip>/whatever
Backdoor Macros
È possibile utilizzare le macro per eseguire codice arbitrario dal documento.
Funzioni di Autoload
Più sono comuni, più è probabile che l'AV le rilevi.
AutoOpen()
Document_Open()
Esempi di Codice Macros
Rimuovere manualmente i metadati
Vai su File > Info > Ispeziona documento > Ispeziona documento, che aprirà l'Ispezione documento. Clicca su Ispeziona e poi su Rimuovi tutto accanto a Proprietà del documento e informazioni personali.
Estensione Doc
Quando hai finito, seleziona il menu a discesa Salva come tipo, cambia il formato da .docx
a Word 97-2003 .doc
.
Fallo perché non puoi salvare macro all'interno di un .docx
e c'è uno stigma attorno all'estensione abilitata per le macro .docm
(ad esempio, l'icona della miniatura ha un enorme !
e alcuni gateway web/email le bloccano completamente). Pertanto, questa estensione legacy .doc
è il miglior compromesso.
Generatori di macro dannose
MacOS
File HTA
Un HTA è un programma Windows che combina HTML e linguaggi di scripting (come VBScript e JScript). Genera l'interfaccia utente ed esegue come un'applicazione "completamente fidata", senza i vincoli del modello di sicurezza di un browser.
Un HTA viene eseguito utilizzando mshta.exe
, che è tipicamente installato insieme a Internet Explorer, rendendo mshta
dipendente da IE. Quindi, se è stato disinstallato, gli HTA non saranno in grado di essere eseguiti.
Forzare l'autenticazione NTLM
Ci sono diversi modi per forzare l'autenticazione NTLM "da remoto", ad esempio, potresti aggiungere immagini invisibili a email o HTML che l'utente accederà (anche HTTP MitM?). Oppure inviare alla vittima l'indirizzo di file che attiveranno un'autenticazione solo per aprire la cartella.
Controlla queste idee e altro nelle pagine seguenti:
Force NTLM Privileged AuthenticationPlaces to steal NTLM credsRelay NTLM
Non dimenticare che non puoi solo rubare l'hash o l'autenticazione ma anche eseguire attacchi di relay NTLM:
Last updated