Office文档嵌入对象点击执行的社工技巧

着末,用户还必要双击Windows资本治理器视图中的文件

简介

Microsoft Office信托大年夜家都用过Office在文档中嵌入工具极大年夜的方便了我们的日常应用,但同时也为我们带来了浩繁安然问题可以说,Office文档为进击者供给了各类措施来诱骗受害者运行随意率性代码当然,进击者也可能会考试测验使用Office破绽,但更常见的环境是,进击者会向受害者发送包孕恶意宏或嵌入式(Packager)可履行文件的Office文档

为此,微软在Office的安然问题上也下了不少的功夫Office中有个名为受保护的视图(Protected View)的安然功能,假如Office文档来自于互联网,那么该功能会以受限要领打开该文档这个功能的目的是限定可运行的Office组件,以防止进击者自动使用诸如OLE、Flash以及ActiveX等工具中存在的破绽在Office 2016和Office 365还添加了其它的安然步伐(如GPO等),这样当用户从Internet下载文档时宏将完全被禁用,以及阻拦在Packer文件扩展名黑名单列表中的文件类型运行

当然,即便如斯安然问题依旧存在,但这些步伐也在必然程度上削减了此类进击的发生近来,Matt Nelson向我们演示了应用SettingContent-ms文件运行随意率性敕令的措施因为这些文件并不包孕在文件类型的黑名单列表中,是以进击者可以诱骗受害者从Office文档运行嵌入的SettingContent-ms文件今朝,此类文件类型已被添加到了黑名单中在2018年8月的补丁更新中,微软还宣布了一个修复法度榜样,即假如不是从%WinDir%\ImmersiveControlPanel.打开这些文件的,则会进行阻拦

在本文中,我将向大年夜家先容别的两种诱骗受害者运行恶意代码的措施这两种措施都必要有必然量的用户交互MSRC指出“这种技巧必要结合大年夜量的社会工程学技术:受害者必须要对安然警告说’Yes’ ,且在非保护模式下运行”进击者才有可能到手,是以并不会针对该问题宣布任何的修复法度榜样

Shell.Explorer.1

Shell.Explorer.1 OLE工具(CLSID {EAB22AC3-30C1-11CF-A7EB-0000C05BAE0B})充当嵌入式Windows资本治理器或IE浏览器此OLE工具可以嵌入到Office文档中,并可作为持久工具保存在文档中专有款式用于持久化Shell.Explorer.1工具,在偏移量76 (0x4C)处可以找到认识的布局可以看到位于此偏移处的布局是ShellLink (LNK) [MS-SHLLINK]

当初始化(加载)Shell.Exporer.1工具时,ShellLink布局将被解析为老例LNK文件然后,该工具从ShellLink获取ID列表,并以此来导航到供给的文件, (shell) 文件夹或网站

嵌入Windows资本治理器工具

当供给了文件夹路径后,该工具的行径类似于Windows资本治理器可以浏览文件或文件夹,以致可以经由过程双击来履行文件进击者可能会滥用此功能来嵌入Windows资本治理器,从而打开包孕可履行文件的远程共享假如进击者可以说服受害者双击文件,就可以从该远程共享运行可履行代码

但这种进击者的实现前提较为苛刻首先,OLE工具必要单击才能激活其次,用户必要双击OLE工具才能实际得到可用的Windows资本治理器视图这此中的任何一步呈现问题,都将导致掉败

在某些环境下,治理员可能会限定一些用户对某些文件夹或硬盘的浏览权限这种环境下,嵌入Windows资本治理器工具就会很方便例如,假如限定对C:盘的造访,则本地用户可以应用包孕嵌入式Windows资本治理器的Office文档来绕过该限定此外,该工具也可用于偷取NetNTLM哈希值,但这对付Office文档来说并不难,是以应用单击激活OLE工具是没故意义的

Internet Explorer

当Shell.Explorer.1充当嵌入式Internet Explorer时,除了可以在文档中嵌入Web浏览器之外,它还容许我们浏览本地谋略机上的文件,以及远程(共享和网站)上的文件但这依然必要与用户孕育发生交互,可以说这是无法避免的单击激活也适用于此模式,单击该工具将触发Internet Explorer的文件下载功能,这将向用户弹出一个“文件下载”对话框假如用户单击“运行”或“打开”(主要取决于文件款式),则将履行该文件

某些文件类型(如EXE文件)还将会触发一个额外的警告对话框但我们可以经由过程应用其他可履行文件类型,来避免该警告弹框(例如SettingContent-ms文件款式等)

对付控件禁用IE保护模式,这将阻拦其他对话弹框 – 如UAC对话框是以,只必要单击两次就可以运行恶意代码,即单击激活,然后 运行/打开Shell.Explorer.1工具,也是办理Office 2016/365中文件扩展名黑名单的一个很好的措施由于,Shell.Explorer.1并未应用黑名单列表

POC

以下PowerShell脚本将考试测验创建包孕嵌入式Internet Explorer工具的Word文档该脚本应用Packager工具创建了一个看起来像是嵌入文件的工具,单击该工具将触发文件下载功能

[1] [2]下一页

Microsoft Forms 2.0 HTML 控件

Microsoft Forms 2.0工具库包孕许多可以在Office文档中应用的“HTML”ActiveX控件这些控件在初始化时被标记为安然,并且不必要用户为嵌入它们的文档启用ActiveX存储款式比Shell.Explorer.1工具简单得多本色上,它是由工具的CLSID和HTML片段(UTF-16编码)组成的HTML片段(HTML fragment)的款式精确与否并不紧张,工具只会搜索它支持的属性以下是支持action属性的两个工具:

– Forms.HTML:Image.1 (CLSID {5512D112-5CC6-11CF-8D67-00AA00BDCE1D})

– Forms.HTML:Submitbutton.1 (CLSID {5512D110-5CC6-11CF-8D67-00AA00BDCE1D})

单击设置了action属性的嵌入工具,将打开定义的URL老例URL将在默认浏览器中打开,但文件URL(包括共享文件)将会被直接打开这将弹出一个警告对话框,但此对话框与其他警告对话框略有不合,如下图所示

Forms.HTML:Image.1支持src属性,可用于设置设置设备摆设摆设文档中显示的图像应用图像可以冒充工具,例如将其冒充成嵌入文档诱使受害者点击它

必要提醒的是,当Office文档包孕Web标记时,将会弹出别的一个警告对话框,向用户注解它是从Internet下载的此对话框的提示将更为明确,从一个远程进击者的角度来看,这种技巧并不实用

POC

以下PowerShell脚本可用于创建具有嵌入Forms.HTML:Image.1工具的Word文档,单击该工具将打开谋略器

受保护视图

如上所述,当Office文档包孕Web标记时,则会向用户注解它是从Internet下载的这种环境下,文档将在受保护的视图中打开在此模式下,将禁用文档中存在的任何嵌入工具除非进击者使用破绽绕过受保护视图,否则进击者就必要结合社工的技术来诈骗受害者单击“启用编辑(Enable Editing)”

防御

分外关注包孕以下工具的文档:

– Shell.Explorer.1 / {EAB22AC3-30C1-11CF-A7EB-0000C05BAE0B}

– Forms.HTML:Image.1 / {5512D112-5CC6-11CF-8D67-00AA00BDCE1D}

– Forms.HTML:Submitbutton.1 / {5512D110-5CC6-11CF-8D67-00AA00BDCE1D}

Shell.Explorer.1工具从工具中提取LNK文件,并检索ID列表查找单击工具时打开的内容我们的GitHub上的ShellLink .NET类库可用于从LNK文件中读取ID列表

HTML Forms工具更轻易解析作为防御者应该知道有多种措施可以在Office文档中存储工具例如,ActiveX控件也可以嵌入作为PersistPropertyBag工具,此中工具的属性设置在XML文件中(例如,activeX1.xml)

总结

当前,经由过程诱骗受害者点击运行恶意可履行文件仍是一种较为盛行的措施因为近些年来微软对Office和Windows安然的赓续优化,进击者必要探索出更多的进击措施在本文中我为大年夜家供给了两种备选规划,比拟之下Shell.Explorer.1技巧彷佛在实际场景中加倍实用虽然,在实际的进击历程傍边会向用户弹框告警,但多半用户的安然意识都较为懦弱,进击者每每只要耍一点小智慧就能节制用户行径成功实施进击计划

作为红队队员或是一个进击者,他们并不会去关心有什么安然修复,只要有时机他们就会顿时付诸于行动而作为一名防御者,我们必须第一光阴懂得或掌握此类进击措施,以作出合理的相应和防御计划规划不仅于此,我们还要经由过程经由过程支配诸如利用法度榜样白名单和进击面削减规则(或类似的替代规划)来前进进击者的门槛但更紧张的是,做好在安然事故发生之前的安然防护事情,以及追捕入侵者让他们为此付出沉重价值

上一页[1] [2]

赞(0) 打赏
分享到: 更多 (0)
免责申明:本站所有资料均来自于网络,版权归原创者所有!本站不提供任何保证,不保证真实性,并不承担任何法律责任

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址

阿里云优惠网 更专业 更优惠

阿里云优惠券阿里云大礼包