Phishing Files & Documents
Dokumenty biurowe
Microsoft Word wykonuje walidację danych pliku przed jego otwarciem. Walidacja danych jest przeprowadzana w formie identyfikacji struktury danych, zgodnie ze standardem OfficeOpenXML. Jeśli wystąpi błąd podczas identyfikacji struktury danych, analizowany plik nie zostanie otwarty.
Zazwyczaj pliki Word zawierające makra używają rozszerzenia .docm
. Jednak możliwe jest zmienienie nazwy pliku poprzez zmianę rozszerzenia pliku i nadal zachowanie możliwości wykonywania makr.
Na przykład, plik RTF nie obsługuje makr, z założenia, ale plik DOCM zmieniony na RTF będzie obsługiwany przez Microsoft Word i będzie zdolny do wykonywania makr.
Te same wewnętrzne mechanizmy mają zastosowanie do całego oprogramowania z pakietu Microsoft Office (Excel, PowerPoint itp.).
Możesz użyć następującego polecenia, aby sprawdzić, które rozszerzenia będą wykonywane przez niektóre programy Office:
DOCX pliki odwołujące się do zdalnego szablonu (Plik – Opcje – Dodatki – Zarządzaj: Szablony – Przejdź) które zawierają makra mogą również „wykonywać” makra.
Ładowanie zewnętrznych obrazów
Przejdź do: Wstaw --> Szybkie części --> Pole Kategorie: Linki i odniesienia, Nazwy pól: includePicture, oraz Nazwa pliku lub URL: http://<ip>/whatever
Makra Backdoor
Możliwe jest użycie makr do uruchamiania dowolnego kodu z dokumentu.
Funkcje autoload
Im bardziej powszechne, tym bardziej prawdopodobne, że AV je wykryje.
AutoOpen()
Document_Open()
Przykłady kodu makr
Ręczne usuwanie metadanych
Przejdź do Plik > Informacje > Sprawdź dokument > Sprawdź dokument, co uruchomi Inspektora dokumentów. Kliknij Sprawdź, a następnie Usuń wszystko obok Właściwości dokumentu i informacje osobiste.
Rozszerzenie dokumentu
Po zakończeniu wybierz rozwijane menu Zapisz jako typ, zmień format z .docx
na Word 97-2003 .doc
.
Zrób to, ponieważ nie możesz zapisać makr w .docx
i istnieje stygmat związany z rozszerzeniem makro-włączonym .docm
(np. ikona miniatury ma ogromne !
, a niektóre bramy internetowe/e-mailowe całkowicie je blokują). Dlatego to stare rozszerzenie .doc
jest najlepszym kompromisem.
Generatory złośliwych makr
MacOS
Pliki HTA
HTA to program Windows, który łączy HTML i języki skryptowe (takie jak VBScript i JScript). Generuje interfejs użytkownika i działa jako "w pełni zaufana" aplikacja, bez ograniczeń modelu bezpieczeństwa przeglądarki.
HTA jest uruchamiane za pomocą mshta.exe
, które jest zazwyczaj instalowane razem z Internet Explorer, co sprawia, że mshta
jest zależne od IE. Jeśli zostało odinstalowane, HTA nie będą mogły się uruchomić.
Wymuszanie uwierzytelniania NTLM
Istnieje kilka sposobów na wymuszenie uwierzytelniania NTLM "zdalnie", na przykład, możesz dodać niewidoczne obrazy do e-maili lub HTML, do których użytkownik uzyska dostęp (nawet HTTP MitM?). Lub wysłać ofierze adres plików, które wywołają uwierzytelnienie tylko przy otwieraniu folderu.
Sprawdź te pomysły i więcej na następujących stronach:
Przekazywanie NTLM
Nie zapomnij, że nie tylko możesz ukraść hash lub uwierzytelnienie, ale także przeprowadzać ataki przekazywania NTLM:
Last updated