Phishing Files & Documents
ऑफिस दस्तावेज़
माइक्रोसॉफ्ट वर्ड फ़ाइल खोलने से पहले फ़ाइल डेटा मान्यता का कार्य करता है। डेटा मान्यता का कार्य डेटा संरचना पहचान, ऑफिसओपनएक्सएमएल मानक के खिलाफ किया जाता है। यदि डेटा संरचना पहचान के दौरान कोई त्रुटि होती है, तो विश्लेषित की जा रही फ़ाइल नहीं खोली जाएगी।
सामान्यत: वर्ड फ़ाइल मैक्रो का उपयोग करने वाली .docm
एक्सटेंशन का उपयोग करती हैं। हालांकि, फ़ाइल का एक्सटेंशन बदलकर फ़ाइल को नाम बदलना संभव है और फिर भी उनके मैक्रो कार्य क्षमताएँ बनाए रखना संभव है।
उदाहरण के लिए, एक RTF फ़ाइल मैक्रो का समर्थन नहीं करती है, डिज़ाइन के अनुसार, लेकिन एक DOCM फ़ाइल जिसे RTF में नाम बदल दिया गया होगा, माइक्रोसॉफ्ट वर्ड द्वारा संभाली जाएगी और मैक्रो क्रियान्वयन क्षमताएँ होंगी।
एक ही आंतरिक और तंत्र टूल्स का उपयोग सभी माइक्रोसॉफ्ट ऑफिस स्वीट (एक्सेल, पावरपॉइंट आदि) पर लागू होता है।
आप निम्नलिखित कमांड का उपयोग कर सकते हैं जिससे आप यह जांच सकते हैं कि कौन सी एक्सटेंशन कुछ ऑफिस कार्यक्रमों द्वारा क्रियान्वित की जाएगी:
बाहरी छवि लोड
जाएं: Insert --> Quick Parts --> Field श्रेणियाँ: लिंक और संदर्भ, फ़ील्ड नाम: includePicture, और फ़ाइल का नाम या URL: http://<ip>/whatever
मैक्रोस बैकडोर
दस्तावेज से एर्बिट्रे कोड चलाने के लिए मैक्रो का उपयोग संभव है।
ऑटोलोड फ़ंक्शन
जितने अधिक सामान्य होते हैं, उतना ही AV उन्हें पहचानेगा।
AutoOpen()
Document_Open()
मैक्रो कोड उदाहरण
मेटाडेटा को मैन्युअल रूप से हटाएं
फ़ाइल > सूचना > दस्तावेज़ जांचें > दस्तावेज़ जांचें पर जाएं, जिससे दस्तावेज़ इंस्पेक्टर खुलेगा। जांच करें और फिर दस्तावेज़ गुण और व्यक्तिगत जानकारी के पास सभी हटाएं पर क्लिक करें।
डॉक एक्सटेंशन
समाप्त होने पर, सेव एस टाइप ड्रॉपडाउन का चयन करें, फॉर्मेट को .docx
से वर्ड 97-2003 .doc
में बदलें।
इसे इसलिए करें क्योंकि आप .docx
के अंदर मैक्रो सहेज नहीं सकते हैं और मैक्रो-सक्षम .docm
एक्सटेंशन के आसपास एक कलंक है (जैसे कि थंबनेल आइकन में एक विशाल !
होता है और कुछ वेब/ईमेल गेटवे उन्हें पूरी तरह से ब्लॉक कर देते हैं)। इसलिए, यह पुरानी .doc
एक्सटेंशन सबसे अच्छा समझौता है।
हानिकारक मैक्रो जेनरेटर
MacOS
HTA फ़ाइलें
एक एचटीए एक विंडोज प्रोग्राम है जो एचटीए को एचटीए जैसी और जेस्क्रिप्टिंग भाषाओं (जैसे वीबीस्क्रिप्ट और जेस्क्रिप्ट) को संयोजित करता है। यह उपयोगकर्ता इंटरफ़ेस उत्पन्न करता है और एक "पूरी भरोसा करने योग्य" एप्लिकेशन के रूप में कार्यान्वित होता है, ब्राउज़र की सुरक्षा मॉडल की प्रतिबंधनों के बिना।
एक एचटीए को mshta.exe
का उपयोग करके कार्यान्वित किया जाता है, जो सामान्यत: इंटरनेट एक्सप्लोरर के साथ स्थापित होता है, जिससे mshta
आईई पर निर्भर होता है। इसलिए, अगर यह अनइंस्टॉल किया गया है, तो एचटीए कार्यान्वित नहीं हो पाएगा।
NTLM प्रमाणीकरण को बलपूर्वक करना
कई तरीके हैं NTLM प्रमाणीकरण "दूरस्थ" करने के लिए, उदाहरण के लिए, आप ईमेल या HTML में अदृश्य छवियाँ जोड़ सकते हैं जिन्हें उपयोगकर्ता तक पहुंचेगा (क्या HTTP MitM?). या पीड़ित को फ़ाइलों का पता भेजें जो फ़ोल्डर खोलने के लिए केवल प्रमाणीकरण को सक्रिय करेगा।
निम्नलिखित पृष्ठों में इन विचारों की जाँच करें:
pageForce NTLM Privileged AuthenticationpagePlaces to steal NTLM credsNTLM रिले
याद रखें कि आप केवल हैश या प्रमाणीकरण चोरी नहीं कर सकते हैं बल्कि NTLM रिले हमले भी कर सकते हैं:
Last updated