Empire İle Office Macro Saldırısı

Son yıllarda en çok karşımıza çıkan saldırı çeşitlerinden biri hiç şüphesiz office macro saldırısıdır. Normal görünen ama makro ayarlanmış bir word dosyası hedefe mail aracılığıyla yollanır. Hedef dosyayı açtığında makroları etkinleştirmesi gerektiği yazısıyla karşılaşır. Makrolar etkinleştiğinde saldırgan hedefin bilgisayarında oturum almış olur ve parasını kazanmaya başlar. Bu saldırıda ben empire kullanacağım.

Öncelikle işe dinleme noktası oluşturmakla başlayalım. HTTP Listener kullanacağım.

Macro

Listenerimin adı bana_gel. Port’u 8090 ayarladıktan sonra execute komutu ile listenerimi oluşturuyorum. Listenerim hakında detaylı bilgi için info komutunu kullanıyorum.

Macro

Gelelim makro oluşturmaya. Bunun için windows/macro stager’ını kullanacağım ama siz eğer karşı tarafta hangi OS olduğunu bilmiyorsanız multi/macro seçeneğini kullanabilirsiniz. Bu sayede osx ve windows da çalışan bir makronuz olur. Kullanacağım stager isminden sonra listener adını yazıyorum. Son olarak execute diyip makromu oluşturuyorum.

Macro

Kendi Winzort makinemde word dosyası oluşturup görünüm sekmesinden makroları seçiyorum. Açılan pencerede makro adı kısmı önemli değil sallayın. Sonrasında oluştur diyorum.

Macro

Bu alana empire ile oluşturduğum makroyu yapıştırıp kaydediyorum.

Macro

Dökümanı farklı kaydet dedikten sonra “Word Makro Etkinleştirilmiş Belgesi” olarak kaydediyorum. Bu aşamada empire açmayın kendi kendinizi hacklersiniz. Sebebi de ilgili makronun döküman kapandıktan sonra çalışması. Dökümanı kaydettikten sonra hedefe atabiliriz (mesela yani).

Macro

Hedefe ilgili dosyayı açtığında böyle görecek.

Macro

Dosyayı kapar kapamaz biz de böyle göreceğiz.

Macro

Aklınıza şu sorular gelebilir : winzort defender anlamadımı olayı ? cevap: hayır peki ya diğer anti zortlar ? cevap : ektedir.

Macro

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir