Phishing Files & Documents
Kantoor Dokumente
Microsoft Word voer lêerdata-validering uit voordat 'n lêer geopen word. Data-validering word uitgevoer in die vorm van datastruktuuridentifikasie, teen die OfficeOpenXML-standaard. As enige fout tydens die datastruktuuridentifikasie voorkom, sal die geanaliseerde lêer nie geopen word nie.
Gewoonlik gebruik Word-lêers wat makro's bevat die .docm
-uitbreiding. Dit is egter moontlik om die lêer te hernoem deur die lêeruitbreiding te verander en steeds hul makro-uitvoeringsvermoëns te behou.
Byvoorbeeld, 'n RTF-lêer ondersteun nie makro's, volgens ontwerp nie, maar 'n DOCM-lêer wat na RTF hernoem is, sal deur Microsoft Word hanteer word en sal in staat wees om makro-uitvoering uit te voer.
Dieselfde interne en meganismes geld vir alle sagteware van die Microsoft Office-pakket (Excel, PowerPoint ens.).
Jy kan die volgende bevel gebruik om te kontroleer watter uitbreidings deur sommige Office-programme uitgevoer gaan word:
Eksterne Beeldlading
Gaan na: Invoeg --> Vinnige Dele --> Veld Kategorieë: Skakels en Verwysings, Veldname: includePicture, en Lêernaam of URL: http://<ip>/whatever
Makro's Agterdeur
Dit is moontlik om makro's te gebruik om willekeurige kode vanuit die dokument uit te voer.
Outomatiese laai funksies
Hoe algemener hulle is, hoe waarskynliker is dit dat die AV hulle sal opspoor.
AutoOpen()
Document_Open()
Makro's Kode Voorbeelde
Verwyder metadata handmatig
Gaan na Lêer > Inligting > Inspekteer Dokument > Inspekteer Dokument, wat die Dokument Inspekteerder sal oopmaak. Klik op Inspekteer en dan op Verwyder Alles langs Dokumenteienskappe en Persoonlike Inligting.
Dok Extensie
Wanneer klaar, kies Stoor as tipe-keuslys, verander die formaat van .docx
na Word 97-2003 .doc
.
Doen dit omdat jy nie makro's binne 'n .docx
kan stoor nie en daar is 'n stigma rondom die makro-geaktiveerde .docm
-uitbreiding (bv. die duimnael-ikoon het 'n groot !
en sommige web/e-pos hekke blokkeer hulle heeltemal). Daarom is hierdie oudtydse .doc
-uitbreiding die beste kompromie.
Skadelike Makro's Opgewek
MacOS
HTA-lêers
'n HTA is 'n Windows-program wat HTML en skripspraak (soos VBScript en JScript) kombineer. Dit genereer die gebruikerskoppelvlak en voer uit as 'n "volledig vertroude" toepassing, sonder die beperkings van 'n blaaier se veiligheidsmodel.
'n HTA word uitgevoer met behulp van mshta.exe
, wat tipies saam met Internet Explorer geïnstalleer word, wat mshta
afhanklik van IE maak. As dit gedeïnstalleer is, sal HTA's nie kan uitvoer nie.
Afdwing van NTLM-verifikasie
Daar is verskeie maniere om NTLM-verifikasie "op afstand" af te dwing, byvoorbeeld, jy kan onsigbare afbeeldings by e-posse of HTML voeg wat die gebruiker sal benader (selfs HTTP MitM?). Of stuur die slagoffer die adres van lêers wat 'n verifikasie sal trigger net vir die oopmaak van die vouer.
Kyk na hierdie idees en meer op die volgende bladsye:
NTLM Oordrag
Moenie vergeet dat jy nie net die has of die verifikasie kan steel nie, maar ook NTLM-oordragsaanvalle kan uitvoer:
Last updated