#VBScript #Macro Attack
گاهی وقت ها نیازی نیست که حتما برای بدست آوردن اطلاعات حساس و مورد نیاز اقدام به گرفتن دسترسی Shell یا سطوح بالاتر باشه,

بلکه نیازه که صرفاء یک کلید رجیستری دوباره باز نویسی بشه, در ماکرو تعریف شده در تصویر که البته بصورت مبهم نوشته شده سناریویی طرح ریزی تغییر HomePage نرم افزار Outlook توسط کلید رجیستری تعریف شده هست , که البته این آسیب پذیری پح شده اما سناریو انجام شده نکات جالبی برای ما دارا هستش,

از دیگر نکات جالب میتوان به روش مبهم سازی کلیدها اشاره کرد که با تابع ()Replace مقادیر ما بین کلیدها یعنی Pipe ها از بین رفته و در نهایت کلید اصلی ساخته میشود, البته باید به این موضوع هم اشاره کرد که نوع عملیات انجام شده توسط ماکرو حساسیت کمتری برای دیوایس های Detection ایجاد میکنه که این هم یک امتیاز مثبی هستش...

https://blog.trendmicro.com/trendlabs-security-intelligence/malicious-macro-hijacks-desktop-shortcuts-to-deliver-backdoor/
@Unk9vvN
This media is not supported in your browser
VIEW IN TELEGRAM
#Office_Macro #Spoof #Parent_Processes and #Command_line argv
اگر در خصوص حملات #APTs تحقیقاتی کرده باشید میدانید که بسیاری از آنها بر مبنای مهندسی اجتماعی فایل فرمت هایی مانند فرمت های محصولات #Office ماکروسافت هستند، از این روی بحث رهگیری #Macro های مخرب برای محصولات #EDR بسیار مهم و حیاتی هستش، و یکی از روش های رهگیری این #Macro ها بررسی Parent های پراسس برنامه هستش، و همچنین CommandLine که در Sysmon Event سیستم عامل ثبت میشه،

یک محقق با استفاده از زبان VBA که هم پشتیبانیش برای Macro نویسی در آفیس فراهمه هم میتوان با استفاده از آن با API Windows ارتباط برقرار کرد رو مورد استفاده قرار داده و با استفاده از تابع NtQueryInformationProcess آدرس ساختمان PEB رو بدست و با استفاده از تابع WriteProcessMemory اقدام و Overwrite کردن مقادیر CommandLine کرده،

همچنین با استفاده از OpenProcess که یک تابع خنثی برای #EDR ها محصوب میشه میشه، با این کار پراسس مثلا notepad ایجاد میشود اما با اجرای یک شلکد که بد از اجرا پارامترش Overwrite با یک کد خنثی خواهد شد.

https://github.com/christophetd/spoofing-office-macro
@Unk9vvN
#Office #Macro #Malware #APTs
بسیاری از حملات سطح پیشرفته رخداده مبتنی بر Macro هایی بوده است که بصورت یک Dropper یا به عنوان یک Downloader عمل کرده و Stage های مختلف یک بد افزار رو به سیستم قربانی انتقال داده است،

اما در سالهای اخیر از پتانسیل زبان VBA به جهت دستکاری یک Process یا تزریق یک Shellcode و یا خاموش کردن مکانیزم های شناسایی کننده استفاده شده، برای مثال در این پست یک نمونه از دستکاری سطح سیستم عامل رو شاهد هستیم که میتواند مکانیزم AMSI که یک مکانیزم AV هستش رو دور زده و کد مخرب خود رو بصورت مستقیم به اجرا در بیاره!

اما جدای از این سبک استفاده از توابع سیستم عامل ویندوز، روش های دیگری در بحث مبهم سازی استفاده میشه که میتونه بواسطه ActiveX Object ها پلن بعدی حمله رو بصورت ناشناس به اجرا در بیاره،

به هر روی استفاده از Macro های خانواده Office فرصت خوبیه که سناریو های مهندسی اجتماعی قوی ای رو پیاده و عملیات تیم قرمز رو با موفقیت به سر انجام رسوند...

@Unk9vvN
#Office #Macro #Evasion
در ارائه امسال Blackhat اروپا، یک PoC مطرح شد در خصوص طراحی Macro برای اجرای کد مخرب بصورت نا محسوس.

نکته ای که محقق مبتنی بر اون روش منطق طراحی Macro خودش قراره داده، این است که بجای استفاده از یک Pattern کد معمول، سعی کرده ساختار Initialize کد برای رسیدن به نهایتا اجرای کد Powershell در تابع Shell، بصورت غیر معمول انجام بده.

یعنی معمولا برای دستیابی به اجرای کد بر روی خط فرمان، میتوان مستقیما از Wscript.Shell یک Object ساخته و مقدار مربوطه رو وارد کرد، این روش قطعا تشخیص داده خواهد شد، چرا که مقادیر Macro برای AMSI سیستم عامل ویندوز ارسال میشه و اونجا بواسطه تشخیص مبتنی بر امضا دیده خواهد شد.

محقق در کد مطرح شده خودش اومده از یک COM به نام winmgmts استفاده کرده برای زدن یک Query به Win32_PhysicalMemory که مقدار واحد RAM رو دریافت خواهد کرد، در ادامه این واحد رو جمع به خود میکنه تا در شرط در ادامه طراحی شده، مقدار dRam بیش از 20000000000 بشه تا شرط برقرار بشه.

با برقراری شرط به تابع Shell تماسی زده میشه و کد Powershell اجرا میشه مبنی بر دانلود و اجرای یک فایل EXE.

@Unk9vvN