利用Office文档结合社会工程学手段欺骗用户执行恶意代码

着末的话

Red Teamers(和进击者)不停在探求新措施,他们并不关心什么相符安然修复的标准

写在前面的话

Microsoft Office文档为进击者供给了各类诈骗受害者运行随意率性代码的措施当然,进击者可能会考试测验直接使用Office破绽,但更常见的环境是向受害者发送包孕恶意代码的文档 与此同时,微软也不停在拟订安然步伐一样平常步伐当文档从internet高低载时,并不会直接打开,而是在受保护视图中打开它们

Office 2016和Office 365应用其他安然步伐(如GPO),以便在从Internet下载文档时完全禁用宏而且Packer文件扩展名黑名单,阻拦黑名单文件类型的运行 当然,这些保护并不完美,但它们有助于削减这类进击近来,Matt Nelson演示了SettingContent-ms文件可用于运行随意率性敕令这些文件最初不在黑名单中,是以可用于诈骗受害者从Office文档运行SettingContent-ms文件但此文件类型现已添加到黑名单中,以保护Office 2016/365用户在2018年8月补丁周二时代,微软还宣布了一个修复法度榜样,假如这些文件没有从%WinDir%\ImmersiveControlPanel打开,就阻拦它们被打开在这篇博客中,我将展示别的两种引诱受害者运行恶意代码的措施两种措施都必要必然量的用户交互

Shell.Explorer.1

所述Shell.Explorer.1OLE工具(CLSID {EAB22AC3-30C1-11CF-A7EB-0000C05BAE0B})充当嵌入Windows资本治理器或嵌入式的Internet Explorer此OLE工具可以嵌入Office文档中,并作为持久工具保存在文档中专有款式用于持久化Shell.Explorer.1工具,可以在偏移量76(0x4C)处找到位于此偏移处的布局是ShellLink(LNK)布局的 MS-SHLLINK 初始化(加载)Shell.Exporer.1工具时,ShellLink布局将被解析为老例LNK文件然后,该工具从ShellLink 获取ID列表,并应用它来导航(浏览)到供给的文件,文件夹或网站

Embedded Explorer

供给文件夹路径时,该工具的行径类似于Windows资本治理器可以浏览文件或文件夹,以致可以经由过程双击来履行文件进击者可能会滥用此功能来嵌入Windows资本治理器假如进击者可以说服其受害者双击进击者节制的文件,则可以远程运行可履行代码 然则这种进击彷佛很难实现首先,OLE工具必要单击才能激活,其次,用户必要双击OLE工具才能实际得到可用的Windows资本治理器视图着末,用户还必要双击Windows资本治理器视图中的文件 在治理员限定浏览某些文件夹或驱动器的可能性的环境下,嵌入Windows资本治理器工具会很方便例如,假如限定对C:驱动器的造访,则本地用户可以应用包孕嵌入式Windows资本治理器的Office文档来规避此限定此外,该工具可用于偷取NetNTLM哈希值,但因为这对Office文档并不难,是以应用单击的OLE工具进行激活是没故意义的

IE浏览器

当Shell.Explorer.1充当嵌入式Internet Explorer时,工作会变得更故意思除了可以在文档中嵌入Web浏览器之外,它还容许浏览本地谋略机上的文件,以及浏览到远程位置(共享和网站)上的文件没有一些用户交互,这是弗成能完成的单击激活也适用于此模式,单击该工具将触发Internet Explorer的文件下载功能,这意味着将向用户显示“文件下载”对话框假如用户单击“ 运行”或“ 打开”(取决于文件款式),则将履行该文件

某些文件类型(如EXE文件)将触发另一个警告对话框然则经由过程应用其他可履行文件类型可以轻松避免此对话框

保护模式IE被禁用用于控件,这确凿会阻拦显示其他对话框——如UAC对话框是以,只必要两次单击就可以运行恶意代码,即单击以激活,然后运行/打开

Poc

下面的PowerShell脚本将考试测验创建包孕嵌入式Internet Explorer工具的Word文档该脚本应用Packager工具创建一个嵌入文件的工具,单击该工具将触发文件下载功能

Microsoft Forms 2.0 HTML控件

Microsoft Forms 2.0工具库包孕许多可以在Office文档中应用的“HTML”ActiveX控件这些控件标记为可安然初始化,并且不要求用户为嵌入它们的文档启用ActiveX存储款式比Shell.Explorer.1工具简单得多本色上,它由工具的CLSID和HTML片段(UTF-16编码)组成HTML片段不必然必须款式精确,工具只会搜索它支持的属性两个工具支持action属性,该属性采纳URL这些工具是:

– Forms.HTML:Image.1 (CLSID {5512D112-5CC6-11CF-8D67-00AA00BDCE1D})

Forms.HTML:Submitbutton.1 (CLSID {5512D110-5CC6-11CF-8D67-00AA00BDCE1D})

单击设置action属性的嵌入工具,将导致打开定义的URL老例URL将在默认浏览器中打开,但文件URL(包括共享文件)将直接打开将显示一个警告对话框,但此对话框与其他警告对话框略有不合,如图6所示此警告对话框对付所有文件类型都是相同的

Forms.HTML:Image.1吸收一个src,可用于设置设置设备摆设摆设文档中显示的图像应用图像可以冒充工具,例如将其冒充成嵌入文档以诱使受害者点击它 应该留意的是,当Office文档包孕Web标记时,会显示另一个警告对话框,注解它是从Internet下载的此对话框更明确,从远程进击者的角度来看,这种技巧没什么用

[1] [2]下一页

Poc

以下PowerShell脚本可用于创建具有嵌入的Forms.HTML:Image.1工具的Word文档,单击该工具将导致谋略器打开

受保护的视图

如上所述,文档可能包孕Web标记以将文件标记为从因特网下载假如存在,文档将在受保护的视图中打开在此模式下,将禁用文档中存在的任何嵌入工具除非进击者应用绕过受保护视图的破绽,否则必要额外的社交工程来诈骗用户单击“ 启用编辑”

若何防御

用户应该留意包孕以下任何工具的文档:

– Shell.Explorer.1 / {EAB22AC3-30C1-11CF-A7EB-0000C05BAE0B}

Forms.HTML:Image.1 / {5512D112-5CC6-11CF- 8D67-00AA00BDCE1D}

Forms.HTML:Submitbutton.1 / {5512D110-5CC6-11CF-8D67-00AA00BDCE1D}

对付Shell.Explorer.1工具从工具中提取LNK文件并检索ID列表以找出打开时的内容单击工具我们的GitHub页面上的ShellLink .NET类库可用于从LNK文件中读取ID列表平日,LNK文件在Shell.Explorer.1工具的偏移量76处开始 HTML Forms工具更轻易解析,由于它们是带有16字节GUID的UTF-16编码的HTML片段防御者应该知道有多种措施可以在Office文档中存储工具例如,ActiveX控件也可以嵌入为PersistPropertyBag工具,此中工具的属性设置在XML文件中(例如activeX1.xml)作为一名戍守者,知道什么样的进击有助于阻拦他们(对象者)他不应止步于此,经由过程支配利用法度榜样白名单和进击面削减规则(或类似替代规划)之类的器械来前进进击者的门槛但更紧张的是,确保能够懂得收集上发生的工作,并探求入侵者

上一页[1] [2]

赞(0) 打赏
分享到: 更多 (0)
免责申明:本站所有资料均来自于网络,版权归原创者所有!本站不提供任何保证,不保证真实性,并不承担任何法律责任

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址

阿里云优惠网 更专业 更优惠

阿里云优惠券阿里云大礼包