Son yıllarda en çok karşımıza çıkan saldırı çeşitlerinden biri hiç şüphesiz office macro saldırısıdır. Normal görünen ama makro ayarlanmış bir word dosyası hedefe mail aracılığıyla yollanır. Hedef dosyayı açtığında makroları etkinleştirmesi gerektiği yazısıyla karşılaşır. Makrolar etkinleştiğinde saldırgan hedefin bilgisayarında oturum almış olur ve parasını kazanmaya başlar. Bu saldırıda ben empire kullanacağım.
Öncelikle işe dinleme noktası oluşturmakla başlayalım. HTTP Listener kullanacağım.
Listenerimin adı bana_gel. Port’u 8090 ayarladıktan sonra execute komutu ile listenerimi oluşturuyorum. Listenerim hakında detaylı bilgi için info komutunu kullanıyorum.
Gelelim makro oluşturmaya. Bunun için windows/macro stager’ını kullanacağım ama siz eğer karşı tarafta hangi OS olduğunu bilmiyorsanız multi/macro seçeneğini kullanabilirsiniz. Bu sayede osx ve windows da çalışan bir makronuz olur. Kullanacağım stager isminden sonra listener adını yazıyorum. Son olarak execute diyip makromu oluşturuyorum.
Kendi Winzort makinemde word dosyası oluşturup görünüm sekmesinden makroları seçiyorum. Açılan pencerede makro adı kısmı önemli değil sallayın. Sonrasında oluştur diyorum.
Bu alana empire ile oluşturduğum makroyu yapıştırıp kaydediyorum.
Dökümanı farklı kaydet dedikten sonra “Word Makro Etkinleştirilmiş Belgesi” olarak kaydediyorum. Bu aşamada empire açmayın kendi kendinizi hacklersiniz. Sebebi de ilgili makronun döküman kapandıktan sonra çalışması. Dökümanı kaydettikten sonra hedefe atabiliriz (mesela yani).
Hedefe ilgili dosyayı açtığında böyle görecek.
Dosyayı kapar kapamaz biz de böyle göreceğiz.
Aklınıza şu sorular gelebilir : winzort defender anlamadımı olayı ? cevap: hayır peki ya diğer anti zortlar ? cevap : ektedir.