Phishing Files & Documents
Nyaraka za Ofisi
Microsoft Word hufanya uthibitishaji wa data ya faili kabla ya kufungua faili. Uthibitishaji wa data hufanywa kwa njia ya kutambua muundo wa data, dhidi ya kiwango cha OfficeOpenXML. Ikiwa kuna kosa lolote wakati wa kutambua muundo wa data, faili inayochambuliwa haitafunguliwa.
Kawaida, faili za Word zinazojumuisha macros hutumia kielezo cha .docm
. Walakini, inawezekana kubadilisha jina la faili kwa kubadilisha kielezo cha faili na bado kudumisha uwezo wao wa kutekeleza macros.
Kwa mfano, faili ya RTF haisaidii macros, kwa kubuni, lakini faili ya DOCM iliyebadilishwa jina kuwa RTF itashughulikiwa na Microsoft Word na itaweza kutekeleza macros.
Mifumo na taratibu sawa inatumika kwa programu zote za Microsoft Office Suite (Excel, PowerPoint n.k.).
Unaweza kutumia amri ifuatayo kuangalia ni vifaa vipi vitakavyotekelezwa na baadhi ya programu za Ofisi:
Upakiaji wa Picha za Nje
Nenda: Chomeka --> Sehemu za Haraka --> Uga Jamii: Viungo na Marejeleo, Jina la Uga: includePicture, na Jina la Faili au URL: http://<ip>/chochote
Mlango Nyuma wa Macros
Inawezekana kutumia macros kutekeleza nambari isiyojulikana kutoka kwenye hati.
Vipengele vya Kiotomatiki
Kadri wanavyokuwa vya kawaida, ndivyo inavyoweza kugunduliwa na AV.
AutoOpen()
Document_Open()
Mifano ya Nambari za Macros
Ondoa metadata kwa mkono
Nenda kwa Faili > Maelezo > Ukaguzi wa Hati > Ukaguzi wa Hati, ambayo italeta Mchunguzi wa Hati. Bonyeza Kagua kisha Ondoa Yote karibu na Mali za Hati na Taarifa Binafsi.
Uzidi wa Hati
Ukapomaliza, chagua Aina ya Hifadhi kwenye menyu ya kunjua, badilisha muundo kutoka .docx
hadi Neno 97-2003 .doc
.
Fanya hivi kwa sababu huwezi kuhifadhi macro ndani ya .docx
na kuna unyanyapaa kuhusu uzidi wa macro ya .docm
(k.m. ishara ya kidole ina alama kubwa ya !
na baadhi ya lango la mtandao/barua pepe linazuia kabisa). Hivyo, uzidi wa zamani wa .doc
ni muafaka zaidi.
Wazalishaji wa Macro Zenye Nia Mbaya
MacOS
Faili za HTA
HTA ni programu ya Windows ambayo inachanganya HTML na lugha za maandishi (kama VBScript na JScript). Inazalisha kiolesura cha mtumiaji na inatekelezwa kama programu "iliyothibitishwa kabisa", bila vikwazo vya mfano wa usalama wa kivinjari.
HTA inatekelezwa kwa kutumia mshta.exe
, ambayo kwa kawaida inasakinishwa pamoja na Internet Explorer, ikifanya mshta
kuwa tegemezi kwa IE. Kwa hivyo, ikiwa imeondolewa, HTAs haitaweza kutekelezwa.
Kulazimisha Uthibitisho wa NTLM
Kuna njia kadhaa za kulazimisha uthibitisho wa NTLM "kijijini", kwa mfano, unaweza kuongeza picha zisizoonekana kwenye barua pepe au HTML ambayo mtumiaji atafikia (hata HTTP MitM?). Au tuma mhanga anwani ya faili ambazo zitafanya uthibitisho tu kwa kufungua folda.
Angalia mawazo haya na zaidi kwenye kurasa zifuatazo:
NTLM Relay
Usisahau kwamba huwezi tu kuiba hash au uthibitisho bali pia kufanya mashambulizi ya NTLM relay:
Last updated