Статья Macros Microsoft Word: делаем свой макрос

ColorS · 27.06.2020

BadBrother сказал(а):

Спасибо, кто тестил на пробив, какой процент?

да пробив там конечно же небольшой, это самый простейший макрос

Medusa_ · 28.06.2020

Хм, сливали же тут уже

ColorS · 28.06.2020

Medusa_ сказал(а):

Хм, сливали же тут уже

да, сливали, сначала не заметил, смысла удалять думаю нет.

codexprime · 01.07.2020

есть вариант через видео
правда как сделать запуск файла ?

ColorS · 02.07.2020

codexprime сказал(а):

есть вариант через видео
правда как сделать запуск файла ?

у меня есть реализация html embending запуск через iexplorer в видеофрейме ютуба,она паблик, рассказывать не думаю что имеет смысл. Поищи сам

codexprime · 02.07.2020

AsHkERE сказал(а):

у меня есть реализация html embending запуск через iexplorer в видеофрейме ютуба,она паблик, рассказывать не думаю что имеет смысл. Поищи сам

спасибо, то есть надо найти код запуска exe через explorer и вставить в тег iframe ?

Octoberine · 04.07.2020

Haunt сказал(а):

Имхо лучше освети использование winapi в vb/vba. Мельком глаза видел, что так делают, но хотелось бы более полной инфы. Поскольку открываются такие векторы
1) патч amsi.dll в контексте vba движка. Способом rastamouse, только для vba.
2) инжекты шеллкода(loadpe шк, инжектированный куда либо, позволяет обойти поведенческий детект winword -> illegal child process. А также убрать дроп вредоноса на диск.

Есть вот такой порт AMSI-Bypass на вба с некоторыми доработками:

Dynamic Microsoft Office 365 AMSI In Memory Bypass Using VBA – secureyourit.co.uk

Раньше работало. К тому же у него в блоге рядом есть ещё более свежие способы.

ColorS · 05.07.2020

codexprime сказал(а):

спасибо, то есть надо найти код запуска exe через explorer и вставить в тег iframe ?

там другая реализация напиши мне скину в лс если надо

ColorS · 05.07.2020

Octoberine сказал(а):

Есть вот такой порт AMSI-Bypass на вба с некоторыми доработками:

Dynamic Microsoft Office 365 AMSI In Memory Bypass Using VBA – secureyourit.co.uk
Раньше работало. К тому же у него в блоге рядом есть ещё более свежие способы.

мне кажется с эксплойтами работать стало легче чем с санными макросами, например эта реализация обхода amsi уже как 1 месяц останавливается amsi( по крайне мере у меня), с макросами поэтому я на "вы". Есть множество решений по мимо макросов, Video html Embending, ole exploit(по сути просто ole Обьект но если проявить креативность можно сделать неплохую штуку) конечно же все решения такого рода не под 365 office, да и в последнем апдейте с ole политикой выполнения разобрались, а с видео фреймом доп проверкой и отсутствием запуска через фрейм iexplorer( торгашь продавал встроенный cve-2020-0674 здесь за громадную сумму)

tabbygerd · 12.12.2020

Спасибо, за статью!

Вирустотал как?

Статья Macros Microsoft Word: делаем свой макрос

ColorS

Medusa_

floppy-диск

ColorS

codexprime

(L3) cache

ColorS

codexprime

(L3) cache

Octoberine

Blackhat Otaku

ColorS

ColorS

tabbygerd

floppy-диск