Phishing Files & Documents
Office Documents
O Microsoft Word realiza a validação de dados do arquivo antes de abrir um arquivo. A validação de dados é realizada na forma de identificação da estrutura de dados, em conformidade com o padrão OfficeOpenXML. Se ocorrer algum erro durante a identificação da estrutura de dados, o arquivo sendo analisado não será aberto.
Normalmente, arquivos do Word que contêm macros usam a extensão .docm
. No entanto, é possível renomear o arquivo alterando a extensão do arquivo e ainda manter suas capacidades de execução de macro.
Por exemplo, um arquivo RTF não suporta macros, por design, mas um arquivo DOCM renomeado para RTF será tratado pelo Microsoft Word e será capaz de executar macros.
Os mesmos internos e mecanismos se aplicam a todo o software da Microsoft Office Suite (Excel, PowerPoint etc.).
Você pode usar o seguinte comando para verificar quais extensões serão executadas por alguns programas do Office:
DOCX files referencing a remote template (Arquivo – Opções – Suplementos – Gerenciar: Modelos – Ir) that includes macros can “execute” macros as well.
Carregamento de Imagem Externa
Vá para: Inserir --> Partes Rápidas --> Campo Categorias: Links e Referências, Nomes de Arquivo: includePicture, e Nome do Arquivo ou URL: http://<ip>/whatever
Backdoor de Macros
É possível usar macros para executar código arbitrário do documento.
Funções de Autoload
Quanto mais comuns forem, mais provável é que o AV as detecte.
AutoOpen()
Document_Open()
Exemplos de Código de Macros
Remover metadados manualmente
Vá para Arquivo > Informações > Inspecionar Documento > Inspecionar Documento, o que abrirá o Inspetor de Documentos. Clique em Inspecionar e depois em Remover Tudo ao lado de Propriedades do Documento e Informações Pessoais.
Extensão do Doc
Quando terminar, selecione o dropdown Salvar como tipo, mude o formato de .docx
para Word 97-2003 .doc
.
Faça isso porque você não pode salvar macros dentro de um .docx
e há um estigma em torno da extensão habilitada para macros .docm
(por exemplo, o ícone da miniatura tem um enorme !
e alguns gateways web/email os bloqueiam completamente). Portanto, esta extensão legada .doc
é o melhor compromisso.
Geradores de Macros Maliciosas
MacOS
Arquivos HTA
Um HTA é um programa do Windows que combina HTML e linguagens de script (como VBScript e JScript). Ele gera a interface do usuário e é executado como um aplicativo "totalmente confiável", sem as restrições do modelo de segurança de um navegador.
Um HTA é executado usando mshta.exe
, que geralmente é instalado junto com Internet Explorer, tornando mshta
dependente do IE. Portanto, se ele foi desinstalado, os HTAs não poderão ser executados.
Forçando a Autenticação NTLM
Existem várias maneiras de forçar a autenticação NTLM "remotamente", por exemplo, você poderia adicionar imagens invisíveis a e-mails ou HTML que o usuário acessará (até mesmo HTTP MitM?). Ou enviar à vítima o endereço de arquivos que irão disparar uma autenticação apenas por abrir a pasta.
Verifique essas ideias e mais nas páginas a seguir:
Force NTLM Privileged AuthenticationPlaces to steal NTLM credsRevezamento NTLM
Não se esqueça de que você não pode apenas roubar o hash ou a autenticação, mas também realizar ataques de revezamento NTLM:
Last updated