Phishing Files & Documents
Office Dokumenti
Microsoft Word vrši validaciju podataka fajla pre otvaranja fajla. Validacija podataka se vrši u obliku identifikacije strukture podataka, u skladu sa OfficeOpenXML standardom. Ako dođe do bilo kakve greške tokom identifikacije strukture podataka, fajl koji se analizira neće biti otvoren.
Obično, Word fajlovi koji sadrže makroe koriste ekstenziju .docm
. Međutim, moguće je preimenovati fajl promenom ekstenzije fajla i dalje zadržati sposobnosti izvršavanja makroa.
Na primer, RTF fajl ne podržava makroe, po dizajnu, ali DOCM fajl preimenovan u RTF će biti obrađen od strane Microsoft Word-a i biće sposoban za izvršavanje makroa.
Isti interni mehanizmi se primenjuju na sve softvere Microsoft Office paketa (Excel, PowerPoint itd.).
Možete koristiti sledeću komandu da proverite koje ekstenzije će biti izvršene od strane nekih Office programa:
Eksterni Učitavanje Slike
Idi na: Umetanje --> Brze Delove --> Polje Kategorije: Linkovi i Reference, Nazivi Polja: includePicture, i Naziv Fajla ili URL: http://<ip>/bilošta
Makro Pozadinska Vrata
Moguće je koristiti makroe za pokretanje proizvoljnog koda iz dokumenta.
Autoload funkcije
Što su češće, to je veća verovatnoća da će ih AV detektovati.
AutoOpen()
Document_Open()
Primeri Koda Makroa
Ručno uklanjanje metapodataka
Idite na File > Info > Inspect Document > Inspect Document, što će otvoriti Document Inspector. Kliknite na Inspect, a zatim na Remove All pored Document Properties and Personal Information.
Doc Ekstenzija
Kada završite, izaberite opciju Save as type, promenite format sa .docx
na Word 97-2003 .doc
.
Ovo radite jer ne možete sačuvati makroe unutar .docx
i postoji stigma oko ekstenzije sa makroima .docm
(npr. ikona sličica ima veliko !
i neki web/email gateway ih potpuno blokiraju). Zato je ova zastarela .doc
ekstenzija najbolji kompromis.
Generatori zlonamernih makroa
MacOS
HTA Fajlovi
HTA je Windows program koji kombinuje HTML i skriptne jezike (kao što su VBScript i JScript). Generiše korisnički interfejs i izvršava se kao "potpuno pouzdana" aplikacija, bez ograničenja sigurnosnog modela pregledača.
HTA se izvršava pomoću mshta.exe
, koji je obično instaliran zajedno sa Internet Explorerom, čineći mshta
zavistan od IE-a. Dakle, ako je deinstaliran, HTA fajlovi neće moći da se izvrše.
Prisiljavanje NTLM autentikacije
Postoje nekoliko načina da prisilite NTLM autentikaciju "na daljinu", na primer, možete dodati nevidljive slike u e-poštu ili HTML koje će korisnik pristupiti (čak i HTTP MitM?). Ili poslati žrtvi adresu datoteka koje će pokrenuti autentikaciju samo za otvaranje fascikle.
Proverite ove ideje i još mnogo toga na sledećim stranicama:
pageForce NTLM Privileged AuthenticationpagePlaces to steal NTLM credsNTLM Prenos
Ne zaboravite da ne možete samo ukrasti heš ili autentikaciju već i izvršiti napade prenosa NTLM-a:
Last updated