Phishing Files & Documents
Office Documents
Το Microsoft Word εκτελεί επικύρωση δεδομένων αρχείου πριν ανοίξει ένα αρχείο. Η επικύρωση δεδομένων εκτελείται με τη μορφή αναγνώρισης δομής δεδομένων, σύμφωνα με το πρότυπο OfficeOpenXML. Εάν προκύψει οποιοδήποτε σφάλμα κατά την αναγνώριση της δομής δεδομένων, το αρχείο που αναλύεται δεν θα ανοίξει.
Συνήθως, τα αρχεία Word που περιέχουν μακροεντολές χρησιμοποιούν την επέκταση .docm
. Ωστόσο, είναι δυνατόν να μετονομάσετε το αρχείο αλλάζοντας την επέκταση του αρχείου και να διατηρήσετε τις δυνατότητες εκτέλεσης μακροεντολών.
Για παράδειγμα, ένα αρχείο RTF δεν υποστηρίζει μακροεντολές, εκ του σχεδιασμού, αλλά ένα αρχείο DOCM που μετονομάζεται σε RTF θα διαχειρίζεται από το Microsoft Word και θα είναι ικανό για εκτέλεση μακροεντολών.
Οι ίδιες εσωτερικές διαδικασίες και μηχανισμοί ισχύουν για όλα τα λογισμικά της σουίτας Microsoft Office (Excel, PowerPoint κ.λπ.).
Μπορείτε να χρησιμοποιήσετε την παρακάτω εντολή για να ελέγξετε ποιες επεκτάσεις θα εκτελούνται από ορισμένα προγράμματα Office:
DOCX αρχεία που αναφέρονται σε ένα απομακρυσμένο πρότυπο (Αρχείο – Επιλογές – Προσθήκες – Διαχείριση: Πρότυπα – Μετάβαση) που περιλαμβάνει μακροεντολές μπορούν επίσης να “εκτελούν” μακροεντολές.
Φόρτωση Εξωτερικής Εικόνας
Μεταβείτε: Εισαγωγή --> Γρήγορα Μέρη --> Πεδίο Κατηγορίες: Σύνδεσμοι και Αναφορές, Ονόματα πεδίων: includePicture, και Όνομα αρχείου ή URL: http://<ip>/whatever
Μακροεντολές Πίσω Πόρτα
Είναι δυνατόν να χρησιμοποιηθούν μακροεντολές για να εκτελούν αυθαίρετο κώδικα από το έγγραφο.
Λειτουργίες Αυτοφόρτωσης
Όσο πιο κοινές είναι, τόσο πιο πιθανό είναι να τις ανιχνεύσει το AV.
AutoOpen()
Document_Open()
Παραδείγματα Κώδικα Μακροεντολών
Manually remove metadata
Πηγαίνετε στο File > Info > Inspect Document > Inspect Document, το οποίο θα φέρει τον Document Inspector. Κάντε κλικ στο Inspect και στη συνέχεια στο Remove All δίπλα από Document Properties and Personal Information.
Doc Extension
Όταν τελειώσετε, επιλέξτε το αναπτυσσόμενο μενού Save as type, αλλάξτε τη μορφή από .docx
σε Word 97-2003 .doc
.
Κάντε το αυτό γιατί δεν μπορείτε να αποθηκεύσετε μακροεντολές μέσα σε ένα .docx
και υπάρχει ένα στίγμα γύρω από την μακροεντολή-ενεργοποιημένη .docm
επέκταση (π.χ. το εικονίδιο μικρογραφίας έχει ένα τεράστιο !
και ορισμένες πύλες ιστού/ηλεκτρονικού ταχυδρομείου τις μπλοκάρουν εντελώς). Επομένως, αυτή η παλαιά επέκταση .doc
είναι η καλύτερη συμβιβαστική λύση.
Malicious Macros Generators
MacOS
HTA Files
Ένα HTA είναι ένα πρόγραμμα Windows που συνδυάζει HTML και γλώσσες scripting (όπως VBScript και JScript). Δημιουργεί τη διεπαφή χρήστη και εκτελείται ως μια "πλήρως αξιόπιστη" εφαρμογή, χωρίς τους περιορισμούς του μοντέλου ασφάλειας ενός προγράμματος περιήγησης.
Ένα HTA εκτελείται χρησιμοποιώντας mshta.exe
, το οποίο είναι συνήθως εγκατεστημένο μαζί με Internet Explorer, καθιστώντας το mshta
εξαρτώμενο από το IE. Έτσι, αν έχει απεγκατασταθεί, τα HTA δεν θα μπορούν να εκτελούνται.
Forcing NTLM Authentication
Υπάρχουν αρκετοί τρόποι για να αναγκάσετε την NTLM αυθεντικοποίηση "απομακρυσμένα", για παράδειγμα, θα μπορούσατε να προσθέσετε αόρατες εικόνες σε emails ή HTML που θα έχει πρόσβαση ο χρήστης (ακόμα και HTTP MitM;). Ή να στείλετε το θύμα τη διεύθυνση αρχείων που θα ενεργοποιήσουν μια αυθεντικοποίηση μόνο για άνοιγμα του φακέλου.
Ελέγξτε αυτές τις ιδέες και περισσότερες στις επόμενες σελίδες:
NTLM Relay
Μην ξεχνάτε ότι δεν μπορείτε μόνο να κλέψετε το hash ή την αυθεντικοποίηση αλλά και να εκτελέσετε επιθέσεις NTLM relay:
Last updated