Phishing Files & Documents
Офісні документи
Microsoft Word виконує перевірку даних файлу перед відкриттям файлу. Перевірка даних виконується у формі ідентифікації структури даних, відповідно до стандарту OfficeOpenXML. Якщо під час ідентифікації структури даних виникає помилка, аналізований файл не буде відкрито.
Зазвичай файли Word, що містять макроси, мають розширення .docm
. Однак можливо перейменувати файл, змінивши розширення файлу, і все ще зберігати їх можливості виконання макросів.
Наприклад, файл RTF не підтримує макроси за замовчуванням, але файл DOCM, перейменований на RTF, буде оброблений Microsoft Word і матиме можливість виконання макросів.
Ті самі внутрішності та механізми застосовуються до всього програмного забезпечення пакету Microsoft Office (Excel, PowerPoint тощо).
Ви можете скористатися наступною командою, щоб перевірити, які розширення будуть виконуватися деякими програмами Office:
DOCX файли, які посилаються на віддалений шаблон (Файл – Опції – Додатки – Керування: Шаблони – Перейти), що містить макроси, можуть також "виконувати" макроси.
Завантаження зовнішнього зображення
Перейдіть до: Вставити --> Швидкі частини --> Поле Категорії: Посилання та посилання, Імена полів: includePicture, та Ім'я файлу або URL: http://<ip>/whatever
Задній вхід макросів
Можна використовувати макроси для виконання довільного коду з документа.
Функції автозавантаження
Чим більш поширені вони є, тим ймовірніше, що Антивірус виявить їх.
AutoOpen()
Document_Open()
Приклади коду макросів
Вручну видалити метадані
Перейдіть до Файл > Інформація > Перевірка документа > Перевірка документа, що викличе Документ-інспектор. Натисніть Перевірити, а потім Видалити все поряд з Властивості документа та особиста інформація.
Розширення документа
Після завершення виберіть розкривний список Зберегти як тип, змініть формат з .docx
на Word 97-2003 .doc
.
Робіть це, оскільки неможливо зберегти макроси всередині .docx
і є стігма навколо розширення з макросами .docm
(наприклад, значок мініатюри має велике !
і деякі веб-портали/поштові шлюзи блокують їх повністю). Тому це спадкове розширення .doc
є найкращим компромісом.
Генератори шкідливих макросів
MacOS
Файли HTA
HTA - це програма Windows, яка поєднує HTML та мови сценаріїв (такі як VBScript та JScript). Вона генерує користувацький інтерфейс та виконується як "повністю довірена" програма, без обмежень моделі безпеки браузера.
HTA виконується за допомогою mshta.exe
, який зазвичай встановлюється разом з Internet Explorer, що робить mshta
залежним від IE. Тому, якщо його було видалено, HTA не зможе виконатися.
Примусова аутентифікація NTLM
Існує кілька способів примусової аутентифікації NTLM "віддалено", наприклад, ви можете додати невидимі зображення до електронних листів або HTML, які користувач відкриє (навіть HTTP MitM?). Або надішліть жертві адресу файлів, які спричинять аутентифікацію лише для відкриття папки.
Перевірте ці ідеї та багато іншого на наступних сторінках:
pageForce NTLM Privileged AuthenticationpagePlaces to steal NTLM credsПересилання NTLM
Не забувайте, що ви можете не лише вкрасти хеш або аутентифікацію, але також здійснювати атаки пересилання NTLM:
Last updated