Когда среди авторов малвари снова стали популярными и "заюзались до дыр" вредоносные документы Office, использующие код VBA, авторы малвари вскоре начали искать выходы из ситуации и другие места, чтобы скрыть payload (URL'ы, команды, шелл-код, EXE-файлы, ...). Пользовательские формы (User Forms) были одним из первых компонентов, которые тогда пришли на ум.
В этом примере я добавляю форму пользователя (UserForm1) с текстовым полем (TextBox1). И я «скрываю» URL внутри текстового поля.
Это приводит к 4 дополнительным потокам в хранилище UserForm1. Вот вывод oledump.py:
Содержание:
Если вы внимательно посмотрите, вы заметите, что поток
Плагин
Когда вы сталкиваетесь с дополнительными потоками в документах Office, обязательно загляните внутрь: они могут содержать payload'ы
Оригинальная статья: https://isc.sans.edu/diary/25084
Перевод: https://xss.pro, tabac
В этом примере я добавляю форму пользователя (UserForm1) с текстовым полем (TextBox1). И я «скрываю» URL внутри текстового поля.
Это приводит к 4 дополнительным потокам в хранилище UserForm1. Вот вывод oledump.py:
Содержание:
Если вы внимательно посмотрите, вы заметите, что поток
f содержит имена компонентов (TextBox1), а поток o содержит значения свойств (в нашем случае URL).Плагин
plugin_stream_o может извлекать значения из текстовых полей:
Когда вы сталкиваетесь с дополнительными потоками в документах Office, обязательно загляните внутрь: они могут содержать payload'ы
Оригинальная статья: https://isc.sans.edu/diary/25084
Перевод: https://xss.pro, tabac