Phishing Files & Documents
Dokumenty Biurowe
Microsoft Word wykonuje walidację danych pliku przed otwarciem. Walidacja danych odbywa się w formie identyfikacji struktury danych, zgodnie ze standardem OfficeOpenXML. Jeśli wystąpi błąd podczas identyfikacji struktury danych, analizowany plik nie zostanie otwarty.
Zazwyczaj pliki Word zawierające makra używają rozszerzenia .docm
. Jednakże, możliwe jest zmienienie nazwy pliku poprzez zmianę rozszerzenia i zachowanie zdolności do wykonywania makr.
Na przykład plik RTF nie obsługuje makr, z założenia, ale plik DOCM zmieniony na RTF zostanie obsłużony przez Microsoft Word i będzie zdolny do wykonania makr.
Te same wewnętrzne mechanizmy stosuje się do wszystkich programów z pakietu Microsoft Office (Excel, PowerPoint itp.).
Możesz użyć poniższej komendy, aby sprawdzić, które rozszerzenia będą wykonywane przez niektóre programy biurowe:
Ładowanie zewnętrznego obrazu
Przejdź do: Wstaw --> Szybkie części --> Pole Kategorie: Linki i odwołania, Nazwy pól: includePicture, a Nazwa pliku lub adres URL: http://<ip>/cokolwiek
Tylnie drzwi makr
Możliwe jest użycie makr do uruchamiania dowolnego kodu z dokumentu.
Funkcje automatycznego ładowania
Im bardziej popularne, tym bardziej prawdopodobne jest wykrycie ich przez oprogramowanie antywirusowe.
AutoOpen()
Document_Open()
Przykłady kodu makr
Usunięcie metadanych ręcznie
Przejdź do Plik > Informacje > Sprawdź dokument > Sprawdź dokument, co spowoduje otwarcie Inspektora dokumentów. Kliknij Sprawdź a następnie Usuń wszystko obok Właściwości dokumentu i informacji osobistych.
Rozszerzenie dokumentu
Po zakończeniu wybierz rozwijaną listę Zapisz jako typ, zmień format z .docx
na Word 97-2003 .doc
.
Zrób to, ponieważ nie można zapisać makr wewnątrz pliku .docx
i istnieje stygmat wokół rozszerzenia z makrami .docm
(np. ikona miniatury ma duże !
i niektóre bramy internetowe/e-mail blokują je całkowicie). Dlatego to dziedziczone rozszerzenie .doc
jest najlepszym kompromisem.
Generatory złośliwych makr
MacOS
Pliki HTA
HTA to program Windows, który łączy HTML i języki skryptowe (takie jak VBScript i JScript). Generuje interfejs użytkownika i wykonuje się jako aplikacja "w pełni zaufana", bez ograniczeń modelu bezpieczeństwa przeglądarki.
HTA jest wykonywany za pomocą mshta.exe
, który zazwyczaj jest zainstalowany razem z Internet Explorer, co sprawia, że mshta
zależy od IE. Jeśli został odinstalowany, pliki HTA nie będą mogły być wykonane.
Wymuszanie uwierzytelniania NTLM
Istnieje kilka sposobów wymuszenia uwierzytelniania NTLM "zdalnie", na przykład można dodać niewidoczne obrazy do e-maili lub HTML, do których użytkownik uzyska dostęp (nawet HTTP MitM?). Lub wysłać ofierze adres plików, które spowodują uwierzytelnienie tylko po otwarciu folderu.
Sprawdź te pomysły i więcej na następnych stronach:
pageForce NTLM Privileged AuthenticationpagePlaces to steal NTLM credsPrzekazywanie NTLM
Nie zapomnij, że możesz nie tylko ukraść skrót lub uwierzytelnienie, ale także przeprowadzić ataki przekazywania NTLM:
Last updated