Phishing Files & Documents
Ofis Belgeleri
Microsoft Word, bir dosyayı açmadan önce dosya veri doğrulaması yapar. Veri doğrulaması, OfficeOpenXML standardına karşı veri yapısı tanımlaması şeklinde gerçekleştirilir. Veri yapısı tanımlaması sırasında herhangi bir hata oluşursa, analiz edilen dosya açılmaz.
Genellikle, makro içeren Word dosyaları .docm
uzantısını kullanır. Ancak, dosya uzantısını değiştirerek dosyayı yeniden adlandırarak makro yürütme yeteneklerini korumak mümkündür.
Örneğin, RTF dosyası, tasarım gereği makroları desteklemez, ancak RTF olarak yeniden adlandırılmış bir DOCM dosyası Microsoft Word tarafından işlenecek ve makro yürütme yeteneğine sahip olacaktır.
Aynı iç yapı ve mekanizmalar, Microsoft Office Suite'in tüm yazılımlarına (Excel, PowerPoint vb.) uygulanır.
Bazı Ofis programları tarafından yürütülecek uzantıları kontrol etmek için aşağıdaki komutu kullanabilirsiniz:
Harici Görüntü Yükleme
Git: Ekle --> Hızlı Parçalar --> Alan Kategoriler: Bağlantılar ve Referanslar, Alan adları: includePicture, ve Dosya adı veya URL: http://<ip>/nebilirim
Macros Arka Kapı
Belgeden makroları "yürütmek" için uzaktan şablonu referans alan DOCX dosyaları (Dosya – Seçenekler – Eklentiler – Yönet: Şablonlar – Git) aynı şekilde makroları "yürütebilir".
Otomatik Yükleme Fonksiyonları
Ne kadar yaygınsa, AV'nin onları tespit etme olasılığı o kadar yüksektir.
AutoOpen()
Document_Open()
Makro Kod Örnekleri
Meta verilerini manuel olarak kaldırma
Dosya > Bilgi > Belgeyi İncele > Belgeyi İncele'ye gidin, bu Belge Denetleyicisini açacaktır. İncele'ye tıklayın ve sonra Belge Özellikleri ve Kişisel Bilgiler yanındaki Tümünü Kaldır'a tıklayın.
Belge Uzantısı
Tamamlandığında, Farklı Kaydet türü açılır menüsünden, formatı .docx
'den Word 97-2003 .doc
'e değiştirin.
Bunu yapın çünkü makroları .docx
içine kaydedemezsiniz ve makro destekli .docm
uzantısı etrafında bir önyargı var (örneğin küçük resim simgesinde büyük bir !
işareti var ve bazı web/e-posta geçitleri bunları tamamen engeller). Bu nedenle, bu eski .doc
uzantısı en iyi uzlaşmadır.
Zararlı Makro Oluşturucuları
MacOS
HTA Dosyaları
Bir HTA, HTML ve VBScript ve JScript gibi betik dillerini birleştiren bir Windows programıdır. Kullanıcı arayüzünü oluşturur ve bir tarayıcının güvenlik modelinin kısıtlamaları olmadan "tamamen güvenilir" bir uygulama olarak çalıştırılır.
Bir HTA, genellikle Internet Explorer ile birlikte yüklenen mshta.exe
kullanılarak yürütülür, bu da mshta
'nın IE'ye bağlı olduğu anlamına gelir. Bu nedenle, IE kaldırılmışsa, HTA'lar yürütülemez olacaktır.
NTLM Kimlik Doğrulamasını Zorlamak
NTLM kimlik doğrulamasını "uzaktan" zorlamak için birkaç yol bulunmaktadır, örneğin, kullanıcı erişeceği görünmez resimler veya HTML içine ekleyebilirsiniz (hatta HTTP MitM?). Veya kurbanı, sadece klasörü açmak için kimlik doğrulamasını tetikleyecek dosyaların adresini gönderebilirsiniz.
Bu fikirleri ve daha fazlasını aşağıdaki sayfalarda kontrol edin:
pageForce NTLM Privileged AuthenticationpagePlaces to steal NTLM credsNTLM Aktarımı
Unutmayın, sadece hash'i veya kimlik doğrulamayı çalmakla kalmayıp aynı zamanda NTLM aktarım saldırıları da gerçekleştirebilirsiniz:
Last updated