Как-то на одном форуме прилетел спам, типа есть такой форум бывший дамаг...
Сейчас зашел и прочитал:
В общем, зарегистрировался я там и сделал копипаст своей статьи... прошло время и меня забанили...
И стало мне интересно, а не забанит ли меня этот же админ еще раз, но только уже на дамаге...
Ну что же, опять мой копипаст с другого форума, но вначале небольшое лирическое вступление с соплями и губной помадой...
Запостил я значит, эту статью на другом форуме в выходные и прошел один день, статья улетела практически на 3-ю страницу...
Успело ее там посмотреть около 30 человек... автор обычно пишет статью, в надежде, что ее прочитают, и в теме появится дискуссия, - на том форуме ничего этого не было...
Посмотрим, что получится здесь... надеюсь меня не забанят за этот копипаст, как в прошлый раз это было на экспе...
Ну, теперь статья, хотя не-e-e... в начале для старых друзей кодовая фраза "получи исходничег"
Долго размышлял, постить ли здесь на форуме подобные хакерские истории, их ведь столько много и каждая непредсказуемая и невозможно угадать, чем все закончится...
Потом подумал, все же здесь есть, наверное, те, кому будет интересно прочитать подобные вещи, решил закинуть простенькую банальную историю для теста...
Хотел бы сразу предупредить, хакерские истории не имеют сослагательных и жестко пускают под замес многих аффторов фэйковых поделок...
Попалась мне на глаза тема и стало интересно, что за ватафак...
Итак, написан этот билдер на AutoIt и обфусцирован.
Стало быть, чтобы получить скрипт OfficeExploit.au3 нам надо декомпилировать и деобфусцировать этот [EQT] OfficExploit.exe
Декомпилировать этот стафф можно при помощи универсального распаковщика UniExtract, есть специальная версия для AutoIt ее можно найти здесь, если кому интересно:
https://forum.ru-board.com/topic.cgi?forum=5&topic=20420 - ищите там Universal Extractor с декомпилятором AutoIt
Ну что ж, декомпильнули при помощи UniExtract и смотрим этот OfficeExploit.au3 и, что там внутри, но вот незадача...
Там каша из цифр и при этом не понять ничего, но все же, там есть одна строчка в этом говнокоде: "OLE Exploit ~ AutoLog team"
Гуглим-гуглим и о боги, что-то есть интересное, а давайте посмотрим что это...
- Silent Doc Exploit 100% fud silent
на видео видно, что там юзается тот же самый билдер, но при этом сам автор видео сливает тестовый DOC на virustotal.com который имеет 7 детектов...
ну а там, в описании есть ссылка на сайт, где можно скачать этот билдер
Скачиваем и сравниваем - билдеры имеют MD5 одинаковый, но вот Tutorial.txt там разные... (но плюс есть, перевели на русский )
Теперь мы знаем, что релиз этого билдера был сделан еще в мае...
Интересно, а являются ли они истинными авторами этого билдера? Или также взяли и удалили/поменяли копирайты...
Продолжим дальше изучать это "чудо"
Если посмотреть на файлы, созданные после декомпиляции, то можно там увидеть файл vvvv
Смотрим в OfficeExploit.au3 и ищем это название и видим, что есть такое:
Применяем магию мозга и деобфусцируем эти строки кода и получаем примерно следующий читаемый код:
Из кода видно, что данные полученные из файла "vvvv" разбиваются на строки и помещаются в массив...
Далее они присваиваются рандомным переменным, и в конечном итоге интерпретатор AutoIt подставит вместо этих рандомных переменных строки из массива $os и получится понятный ему скриптовый код для исполнения...
Чтобы понять этот код, мы должны сделать тоже подстановку вместо этих рандомных переменных...
Но для начала нам нужно изучить содержимое файла "vvvv" - по сути это строки в формате hex, их можно получить при помощи практически любого hex-редактора...
Если посмотреть, то там можно увидеть такую строку: "Word Exploit OLE [ 888-Tools.com ]"
В коде это строка не фигурирует, так как видимо весь код, который был связан с ней - был удален. (подразумеваю, как и весь код связанный с триалом, короче вырезали все, чтобы можно было юзать бесплатно...)
По сути это крякнутая версия билдера...
Итак, гуглим и попадаем сюда:
ну что же история происхождения билдера нам примерно понятна, но вот что за код там юзается - вот это пока остается неизвестной переменной...
для того чтобы это понять нужно деобфусцировать этот говнокод в файле OfficeExploit.au3
кстати, когда, я на виртуалке запустил этот билдер и попробовал сбилдить тестовый DOC, то мне билдер выдал ошибку, там что-то с неправильным объектом... что меня навело на мысль, что должен быть установлен сам офис...
нам не нужно весь код приводить к более или менее понятному виду, а только тот который относится непосредственно к работе с офисом...
Сказано - сделано... и после электрической магии мозга - вуаля и мы получаем код:
Этот код легко можно переписать на VB, вернее даже, наверное, нужно переписать и юзать в качестве макроса для Word'а, если требуется его модифицировать и т. д.
Через Word можно вызвать редактор макросов, а там можно посмотреть справку, причем подробную, о параметрах классов, ну например, там вбить в поиск справки addoleobject и получить полное описание параметров для вызова этого метода... там также есть небольшие примеры кода...
Я погуглил естественно чтобы понять, что к чему и как выяснил, что это стандартный код для офисных приложений для добавления файлов.
Отсылка идет еще в далекий 2006 год, то есть, гы-ы, пиндосы барыжили за 80 баксов стандартным макросом для офиса...
Интересно сколько нашлось лохов, которые купили эту школоло-поделку?
Когда был создан тестовый DOC, естественно его нужно проверить, хотя бы сделать примитивные тесты...
Теперь мы знаем, что в этом документе используются стандартные методы и классы, что в принципе не требует какого-то вмешательства в сам формат документа, но есть и подводные камни, давайте обратим на них внимание...
Видео у нас есть, где виден результат сканирования на virustotal.com и там видно, по сигнатуре (возьмем, для примера) ...Dropper... антивируса ClamAV, что палит он эвристическим анализом, когда файл дропается
Ну что же, просканируем его антивирусом kaspersky
На скриншоте можно увидеть как дропается файл во временную директорию, но это не единственное препятствие, есть еще и...
Помимо того, что юзер должен кликнуть на этой иконке в документе, чтобы запустился прикрепленный файл, нужно еще, чтобы у файла была цифровая подпись, иначе будет запрос от системы и это так же создает дополнительные проблемы...
Хотя есть бесплатный вариант добавить к файлу подпись, и можно попробовать при помощи этого скрипта на питоне
sigthief.py -i ФАЙЛ_С_ПОДПИСЬЮ.exe -t ВИРУС.exe -o ГОТОВЫЙ_ВИРУС.exe
так вот там есть скриншот
который наводит на некоторые мысли, ну например, аттачи в электронных письмах не редкость...
ну, еще там по пути заметил еще один такой DOC + там видео, показывающее что менять, чтобы только когда жертва откроет DOC и тут же начнется загрузка EXE и после скачивания запустится...
видео 2016 года, но возможно, этот макрос еще не до конца ушатали
ЗЫ: там, на сайте blackhatrussia.com вообще всякого старья полно и крипторы и ратники, может кто-то что-то для себя полезное там и найдете...
Ну и бонус к истории, код макроса на VB:
Этот макрос нужен, чтобы создавать подобные файлы для других типов документов, например, для Excel... (естественно код будет отличаться для других типов документов)
Запускаете Word или там жмете кнопку Макросы, в появившемся окне вводите любое название и жмете создать, появится редактор макросов, удаляете весь код, что там будет и вставляете этот код что вверху.
Меняете пути к файлам на свои и жмете кнопку Run (клавиша F5) после запуска макроса должен создаться файл DOC по пути, который вы указали в переменной OutDocName.
Сейчас зашел и прочитал:
Помню, даже одного админа напряг, чтобы он попросил мне там добро дать на регистрацию на эксплойте...
В общем, зарегистрировался я там и сделал копипаст своей статьи... прошло время и меня забанили...
И стало мне интересно, а не забанит ли меня этот же админ еще раз, но только уже на дамаге...
Ну что же, опять мой копипаст с другого форума, но вначале небольшое лирическое вступление с соплями и губной помадой...
Запостил я значит, эту статью на другом форуме в выходные и прошел один день, статья улетела практически на 3-ю страницу...
Успело ее там посмотреть около 30 человек... автор обычно пишет статью, в надежде, что ее прочитают, и в теме появится дискуссия, - на том форуме ничего этого не было...
Посмотрим, что получится здесь... надеюсь меня не забанят за этот копипаст, как в прошлый раз это было на экспе...
Ну, теперь статья, хотя не-e-e... в начале для старых друзей кодовая фраза "получи исходничег"
Долго размышлял, постить ли здесь на форуме подобные хакерские истории, их ведь столько много и каждая непредсказуемая и невозможно угадать, чем все закончится...
Потом подумал, все же здесь есть, наверное, те, кому будет интересно прочитать подобные вещи, решил закинуть простенькую банальную историю для теста...
Хотел бы сразу предупредить, хакерские истории не имеют сослагательных и жестко пускают под замес многих аффторов фэйковых поделок...
Попалась мне на глаза тема и стало интересно, что за ватафак...
Итак, написан этот билдер на AutoIt и обфусцирован.
Стало быть, чтобы получить скрипт OfficeExploit.au3 нам надо декомпилировать и деобфусцировать этот [EQT] OfficExploit.exe
Декомпилировать этот стафф можно при помощи универсального распаковщика UniExtract, есть специальная версия для AutoIt ее можно найти здесь, если кому интересно:
https://forum.ru-board.com/topic.cgi?forum=5&topic=20420 - ищите там Universal Extractor с декомпилятором AutoIt
Ну что ж, декомпильнули при помощи UniExtract и смотрим этот OfficeExploit.au3 и, что там внутри, но вот незадача...
Там каша из цифр и при этом не понять ничего, но все же, там есть одна строчка в этом говнокоде: "OLE Exploit ~ AutoLog team"
Гуглим-гуглим
и о боги, что-то есть интересное, а давайте посмотрим что это...на видео видно, что там юзается тот же самый билдер, но при этом сам автор видео сливает тестовый DOC на virustotal.com который имеет 7 детектов...
ну а там, в описании есть ссылка на сайт, где можно скачать этот билдер
)Теперь мы знаем, что релиз этого билдера был сделан еще в мае...
Интересно, а являются ли они истинными авторами этого билдера? Или также взяли и удалили/поменяли копирайты...
Продолжим дальше изучать это "чудо"
Если посмотреть на файлы, созданные после декомпиляции, то можно там увидеть файл vvvv
Смотрим в OfficeExploit.au3 и ищем это название и видим, что есть такое:
Код:
FileInstall("vvvv", $a620000220esz_, 1)
Код:
Local $RandTempDir = GetRandTempDir()
FileInstall("vvvv", $RandTempDir, 1)
Global $a620000220e, $os = StringSplit(FileRead($RandTempDir),'tE6t',1)Далее они присваиваются рандомным переменным, и в конечном итоге интерпретатор AutoIt подставит вместо этих рандомных переменных строки из массива $os и получится понятный ему скриптовый код для исполнения...
Чтобы понять этот код, мы должны сделать тоже подстановку вместо этих рандомных переменных...
Но для начала нам нужно изучить содержимое файла "vvvv" - по сути это строки в формате hex, их можно получить при помощи практически любого hex-редактора...
Если посмотреть, то там можно увидеть такую строку: "Word Exploit OLE [ 888-Tools.com ]"
В коде это строка не фигурирует, так как видимо весь код, который был связан с ней - был удален. (подразумеваю, как и весь код связанный с триалом, короче вырезали все, чтобы можно было юзать бесплатно...)
По сути это крякнутая версия билдера...
Итак, гуглим и попадаем сюда:
https://www.nulled[.]to/topic/543803-word-office-exploit-ole-888-tools/
и видим, что релиз был этого билдера в СЕНТЯБРЕ 2018 и барыжат пиндосы там этим чудом за 80$ну что же история происхождения билдера нам примерно понятна, но вот что за код там юзается - вот это пока остается неизвестной переменной...
для того чтобы это понять нужно деобфусцировать этот говнокод в файле OfficeExploit.au3
кстати, когда, я на виртуалке запустил этот билдер и попробовал сбилдить тестовый DOC, то мне билдер выдал ошибку, там что-то с неправильным объектом... что меня навело на мысль, что должен быть установлен сам офис...
нам не нужно весь код приводить к более или менее понятному виду, а только тот который относится непосредственно к работе с офисом...
Сказано - сделано... и после электрической магии мозга - вуаля и мы получаем код:
Код:
$FileName = GUICtrlRead($InputFileName)
$IconFileName = GUICtrlRead($InputIconFileName)
$IconLabel = GUICtrlRead($InputMsgPleaseClickHere)
If $FileName = "" OR $IconFileName = "" OR $FileName = "___________" OR $IconFileName = "___________" OR $IconLabel = "" Then
MsgBox(Number(" 0 "), "", "Select Your File !")
Else
Local $oErrorHandler = ObjEvent(AutoIt.Error, _ErrFunc)
;[start macros]
$Word = ObjCreate(Word.Application)
$Word.visible = False
$Doc = $Word.documents.add()
$Selection = $Word.selection
$Selection.inlineshapes.addoleobject("", $FileName, False, True, $IconFileName, Number(" 0 "), $IconLabel)
Local $RandDocName = ""
For $I = Number(" 1 ") To Number(" 6 ")
$RandDocName &= Chr(Random(Number(" 65 "), Number(" 90 "), Number(" 1 ")))
Next
$Doc.saveas(Execute("@ScriptDir") & "\" & $RandDocName & ".doc")
$Word.qui
;[end macros]
;[...]
EndIfЧерез Word можно вызвать редактор макросов, а там можно посмотреть справку, причем подробную, о параметрах классов, ну например, там вбить в поиск справки addoleobject и получить полное описание параметров для вызова этого метода... там также есть небольшие примеры кода...
Я погуглил естественно чтобы понять, что к чему и как выяснил, что это стандартный код для офисных приложений для добавления файлов.
Отсылка идет еще в далекий 2006 год, то есть, гы-ы, пиндосы барыжили за 80 баксов стандартным макросом для офиса...
Интересно сколько нашлось лохов, которые купили эту школоло-поделку?
Когда был создан тестовый DOC, естественно его нужно проверить, хотя бы сделать примитивные тесты...
Теперь мы знаем, что в этом документе используются стандартные методы и классы, что в принципе не требует какого-то вмешательства в сам формат документа, но есть и подводные камни, давайте обратим на них внимание...
Видео у нас есть, где виден результат сканирования на virustotal.com и там видно, по сигнатуре (возьмем, для примера) ...Dropper... антивируса ClamAV, что палит он эвристическим анализом, когда файл дропается
Ну что же, просканируем его антивирусом kaspersky
На скриншоте можно увидеть как дропается файл во временную директорию, но это не единственное препятствие, есть еще и...
Помимо того, что юзер должен кликнуть на этой иконке в документе, чтобы запустился прикрепленный файл, нужно еще, чтобы у файла была цифровая подпись, иначе будет запрос от системы и это так же создает дополнительные проблемы...
Хотя есть бесплатный вариант добавить к файлу подпись, и можно попробовать при помощи этого скрипта на питоне
GitHub - secretsquirrel/SigThief: Stealing Signatures and Making One Invalid Signature at a Time
Stealing Signatures and Making One Invalid Signature at a Time - secretsquirrel/SigThief
github.com
И еще, когда я гуглил, увидел эту тему:
Как вставить PDF-документ в сообщение электронной почты - vba | fooobar.com
Я пытаюсь вставить PDF в тело моего письма. Я пробовал следующий код, но он продолжает открывать слово, но присоединяет файл pdf но не вставляет pdf в качестве объекта в теле письма. Любая помощь по этому поводу будет оценена по достоинству. Public
qaru.site
который наводит на некоторые мысли, ну например, аттачи в электронных письмах не редкость...
ну, еще там по пути заметил еще один такой DOC + там видео, показывающее что менять, чтобы только когда жертва откроет DOC и тут же начнется загрузка EXE и после скачивания запустится...
видео 2016 года, но возможно, этот макрос еще не до конца ушатали
Ну и бонус к истории, код макроса на VB:
Код:
Sub embed_doc()
Dim Word As Object
Dim Doc As Object
Dim Selection As Object
Dim FileName As String
Dim IconFileName As String
Dim IconLabel As String
Dim OutDocName As String
FileName = "c:\TEMP\notepad.exe"
IconFileName = "c:\TEMP\bing.ico"
IconLabel = "Msg Please Click Here"
OutDocName = "E:\1\test.doc"
Set Word = CreateObject("word.application")
Word.Visible = False
Set Doc = Word.Documents.Add()
Set Selection = Word.Selection
Selection.InlineShapes.AddOLEObject "", FileName, False, True, IconFileName, 0, IconLabel
Doc.SaveAs OutDocName
Word.Quit
End SubЗапускаете Word или там жмете кнопку Макросы, в появившемся окне вводите любое название и жмете создать, появится редактор макросов, удаляете весь код, что там будет и вставляете этот код что вверху.
Меняете пути к файлам на свои и жмете кнопку Run (клавиша F5) после запуска макроса должен создаться файл DOC по пути, который вы указали в переменной OutDocName.