Phishing Files & Documents
Documenti di Office
Microsoft Word esegue la convalida dei dati del file prima di aprirlo. La convalida dei dati viene eseguita sotto forma di identificazione della struttura dei dati, rispetto allo standard OfficeOpenXML. Se si verifica un errore durante l'identificazione della struttura dei dati, il file in fase di analisi non verrà aperto.
Di solito, i file di Word contenenti macro utilizzano l'estensione .docm
. Tuttavia, è possibile rinominare il file cambiando l'estensione del file e mantenere comunque le capacità di esecuzione delle macro.
Ad esempio, un file RTF non supporta le macro, per design, ma un file DOCM rinominato in RTF verrà gestito da Microsoft Word e sarà in grado di eseguire le macro.
Gli stessi interni e meccanismi si applicano a tutti i software della suite Microsoft Office (Excel, PowerPoint ecc.).
Puoi utilizzare il seguente comando per verificare quali estensioni verranno eseguite da alcuni programmi di Office:
Caricamento di immagini esterne
Vai a: Inserisci --> Parti rapide --> Campo Categorie: Collegamenti e riferimenti, Nomi dei campi: includePicture, e Nome file o URL: http://<ip>/qualsiasi
Backdoor dei macro
È possibile utilizzare i macro per eseguire codice arbitrario dal documento.
Funzioni di caricamento automatico
Più comuni sono, più probabile è che l'AV li rilevi.
AutoOpen()
Document_Open()
Esempi di codice dei macro
Rimuovere manualmente i metadati
Vai su File > Informazioni > Ispeziona documento > Ispeziona documento, che aprirà l'Ispezionatore documento. Clicca su Ispeziona e poi su Rimuovi tutto accanto a Proprietà del documento e informazioni personali.
Estensione del documento
Una volta finito, seleziona il menu a tendina Salva come tipo, cambia il formato da .docx
a Word 97-2003 .doc
.
Fallo perché non puoi salvare i macro all'interno di un .docx
e c'è uno stigma attorno all'estensione macro abilitata .docm
(ad esempio, l'icona miniatura ha un grande !
e alcuni gateway web/email li bloccano completamente). Pertanto, questa estensione legacy .doc
è il miglior compromesso.
Generatori di macro maligne
MacOS
File HTA
Un file HTA è un programma Windows che combina HTML e linguaggi di scripting (come VBScript e JScript). Genera l'interfaccia utente ed esegue come un'applicazione "totalmente attendibile", senza i vincoli del modello di sicurezza di un browser.
Un file HTA viene eseguito utilizzando mshta.exe
, che è tipicamente installato insieme a Internet Explorer, rendendo mshta
dipendente da IE. Quindi, se è stato disinstallato, gli HTA non potranno essere eseguiti.
Forzare l'autenticazione NTLM
Ci sono diversi modi per forzare l'autenticazione NTLM "da remoto", ad esempio, è possibile aggiungere immagini invisibili alle email o all'HTML a cui l'utente accederà (anche HTTP MitM?). Oppure inviare alla vittima l'indirizzo dei file che attiveranno un'autenticazione solo per aprire la cartella.
Controlla queste idee e altro nelle pagine seguenti:
pageForce NTLM Privileged AuthenticationpagePlaces to steal NTLM credsNTLM Relay
Non dimenticare che non puoi solo rubare l'hash o l'autenticazione ma anche eseguire attacchi di relay NTLM:
Last updated