欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

利用Office文档结合社会工程学手段欺骗用户执行恶意代码

来源:本站整理 作者:佚名 时间:2018-09-10 TAG: 我要投稿

Poc
以下PowerShell脚本可用于创建具有嵌入的Forms.HTML:Image.1对象的Word文档,单击该对象将导致计算器打开。
受保护的视图
如上所述,文档可能包含Web标记以将文件标记为从因特网下载。如果存在,文档将在受保护的视图中打开。在此模式下,将禁用文档中存在的任何嵌入对象。除非攻击者使用绕过受保护视图的漏洞,否则需要额外的社交工程来欺骗用户单击“ 启用编辑”。

如何防御
用户应该注意包含以下任何对象的文档:
- Shell.Explorer.1 / {EAB22AC3-30C1-11CF-A7EB-0000C05BAE0B}
Forms.HTML:Image.1 / {5512D112-5CC6-11CF- 8D67-00AA00BDCE1D}
Forms.HTML:Submitbutton.1 / {5512D110-5CC6-11CF-8D67-00AA00BDCE1D}
对于Shell.Explorer.1对象从对象中提取LNK文件并检索ID列表以找出打开时的内容单击对象。我们的GitHub页面上的ShellLink .NET类库可用于从LNK文件中读取ID列表。通常,LNK文件在Shell.Explorer.1对象的偏移量76处开始。 HTML Forms对象更容易解析,因为它们是带有16字节GUID的UTF-16编码的HTML片段。防御者应该知道有多种方法可以在Office文档中存储对象。例如,ActiveX控件也可以嵌入为PersistPropertyBag对象,其中对象的属性设置在XML文件中(例如activeX1.xml)。
最后的话
Red Teamers(和攻击者)一直在寻找新方法,他们并不关心什么符合安全修复的标准。作为一名防守者,知道什么样的攻击有助于阻止他们(工具者)。他不应止步于此,通过部署应用程序白名单和攻击面减少规则(或类似替代方案)之类的东西来提高攻击者的门槛。但更重要的是,确保能够了解网络上发生的事情,并寻找入侵者。
 

上一页  [1] [2] 

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载