Страницы

Следим за всеми с помощью Microsoft Word

А устроим-ка мы свое АНБ.. с блэкджэком и шлюхами!

Наверное, всем интересно, куда в конце концов попадает ваше резюме, или каким конкурентам заказчик сливает ваше тэкапэ, или слил ли уже кто-то с вашего сервера вашу бэдэ и т.д.

Решить эту проблему можно с помощью старого доброго Мелкомягкого Слова!

1. С помощью сервиса HoneyDocs, или IPlogger готовим специальную картинку.
Сервис HoneyDocs позволяет смотреть UserAgent'а потенциальной жертвы, поэтому я выбрал его.

Чтобы выдрать URL картинки HoneyDocs, регистрируемся (бесплатно) и качаем архив со сгенерированными документами.
Открываем присланный html фаил блокнотом и находим URL картинки. 
Выглядеть он будет как-то так: 
https://honeydocs.herokuapp.com/img/html/<куча_цифр_и_букв>.gif

Обратите внимание - размер гифки 1 пиксель! 

2. Вставляем картинку в Word.

Открываем нужный док и вставляем нашу картинку.

Копируем в поле File name наш URL и (важно!) щелкаем по правой стрелке и выбираем Insert and Link.


Результат будет выглядеть как-то так:

Если убрать с нее мышиное выделение - то белая точка на белом фоне будет полностью невидима.

3. Открываем админку. Смотрим кто, где и чем открывал наш фаил.

При открытии фаила, Word начинает подгружать все картинки, которые размещены в документе в виде линков. Разместив в файле вместо самой картинки ссылку, мы можем мониторить обращения Word'а к нашему серверу, тем самым полностью демаскируя пользователя.

Для особо прокуренных аксакалов внешней разведки, указанный процесс можно организовать с помощью корпоративного вебсервера и парсера логов, натравленного на нужный URL. А нужный URL сделать не на подозрительную (хоть и незаметную) пиксельную гифку, а на корпоративный логотип (на случай ребрендинга! ;)).

В режиме защищенного просмотра (Protected view) этот трюк не сработает =(. Поэтому желательно ваши файлы отправлять по почте (или публиковать на сайте) в архиве. Это позволит избежать излишней подозрительности Word'а к свежескачанному контенту.

Удобного и простого средства защиты от этого трюка я не знаю (может, в комментах подскажут?). Могу только посоветовать открывать в защищенном режиме все чужие документы. 

[UPDATE] тестовый файлик. Абсолютно безопасно!

23 комментария:

  1. да это просто бомба

    Ещё бы сервис который сразу whois по ip-адресу пробивает. Чтобы каждый ip не проверять.

    А выгрузка логов из HoneyDocs возможна?

    ОтветитьУдалить
    Ответы
    1. Я обычно пользуюсь whois от domaintools.
      http://whois.domaintools.com/127.0.0.1

      Собственно нужный IP вбиваю прям в URL.

      Логи вроде не выгрузишь. В платном аккаунте есть алерты (смс, емаил).

      Удалить
  2. А в следующей статье будешь встраивать трояна через VB. Надо ведь следить за тем какие правки вносят в наш документ, чтобы док себя периодически выкладывал на сайте.

    ОтветитьУдалить
    Ответы
    1. На VBS уже могут обидеться вплоть до 272 УК РФ.

      Удалить
  3. Камон, дефолтные настройки ворда закричат пользователю о попытках подгрузить внешние элементы :)

    ОтветитьУдалить
    Ответы
    1. Выложил тестовый файлик в конце статьи. Попробуй, пожалуйста. Там только пиксельная гифка и ничего больше нет.

      Удалить
    2. твой IP - 83.ххх.хх.134 Staroderevyankovskaya! :)

      Удалить
  4. Если этот док прочитают ФСТЭК с ФСБ у них появится хорошая база нарушителей грифов ДСП.

    ОтветитьУдалить
  5. Дело закончится тотальным блокированием адресов этого сервиса в рамках организаций и частных сетей. На всякий случай

    ОтветитьУдалить
    Ответы
    1. Лишь лень помешала поднять мне вебсервер на бесплатном инстансе в амазоновском облаке.

      Amazon блокировать будет только идиот.

      Удалить
    2. а где взять сервер?

      Удалить
    3. Подойдет любой софт, который умеет логировать http запросы.
      Может, чуть позже выложу мануальчик.

      Удалить
  6. А мужики то и не знали, что живут в суровых условиях интнрнета

    ОтветитьУдалить
  7. Этот комментарий был удален автором.

    ОтветитьУдалить
  8. Интересно с 13м "словом" тоже работает при всех рекомендуемых(по умолчанию) настройках?

    ОтветитьУдалить
    Ответы
    1. Работает, только что проверил :)

      Удалить
  9. Этот комментарий был удален администратором блога.

    ОтветитьУдалить
  10. вы поедите на конференцию антифрод russia 2013 28 ноября?

    ОтветитьУдалить
  11. Фаерволл персональный правильно настраивать надо. Нехрен всяким вордам в интернеты лазить.

    ОтветитьУдалить