Страницы

Следим за всеми с помощью Microsoft Word

А устроим-ка мы свое АНБ.. с блэкджэком и шлюхами!

Наверное, всем интересно, куда в конце концов попадает ваше резюме, или каким конкурентам заказчик сливает ваше тэкапэ, или слил ли уже кто-то с вашего сервера вашу бэдэ и т.д.

Решить эту проблему можно с помощью старого доброго Мелкомягкого Слова!

1. С помощью сервиса HoneyDocs, или IPlogger готовим специальную картинку.
Сервис HoneyDocs позволяет смотреть UserAgent'а потенциальной жертвы, поэтому я выбрал его.

Чтобы выдрать URL картинки HoneyDocs, регистрируемся (бесплатно) и качаем архив со сгенерированными документами.
Открываем присланный html фаил блокнотом и находим URL картинки. 
Выглядеть он будет как-то так: 
https://honeydocs.herokuapp.com/img/html/<куча_цифр_и_букв>.gif

Обратите внимание - размер гифки 1 пиксель! 

2. Вставляем картинку в Word.

Открываем нужный док и вставляем нашу картинку.

Копируем в поле File name наш URL и (важно!) щелкаем по правой стрелке и выбираем Insert and Link.


Результат будет выглядеть как-то так:

Если убрать с нее мышиное выделение - то белая точка на белом фоне будет полностью невидима.

3. Открываем админку. Смотрим кто, где и чем открывал наш фаил.

При открытии фаила, Word начинает подгружать все картинки, которые размещены в документе в виде линков. Разместив в файле вместо самой картинки ссылку, мы можем мониторить обращения Word'а к нашему серверу, тем самым полностью демаскируя пользователя.

Для особо прокуренных аксакалов внешней разведки, указанный процесс можно организовать с помощью корпоративного вебсервера и парсера логов, натравленного на нужный URL. А нужный URL сделать не на подозрительную (хоть и незаметную) пиксельную гифку, а на корпоративный логотип (на случай ребрендинга! ;)).

В режиме защищенного просмотра (Protected view) этот трюк не сработает =(. Поэтому желательно ваши файлы отправлять по почте (или публиковать на сайте) в архиве. Это позволит избежать излишней подозрительности Word'а к свежескачанному контенту.

Удобного и простого средства защиты от этого трюка я не знаю (может, в комментах подскажут?). Могу только посоветовать открывать в защищенном режиме все чужие документы. 

[UPDATE] тестовый файлик. Абсолютно безопасно!

23 комментария:

  1. да это просто бомба

    Ещё бы сервис который сразу whois по ip-адресу пробивает. Чтобы каждый ip не проверять.

    А выгрузка логов из HoneyDocs возможна?

    ОтветитьУдалить
    Ответы
    1. Я обычно пользуюсь whois от domaintools.
      http://whois.domaintools.com/127.0.0.1

      Собственно нужный IP вбиваю прям в URL.

      Логи вроде не выгрузишь. В платном аккаунте есть алерты (смс, емаил).

      Удалить
  2. А в следующей статье будешь встраивать трояна через VB. Надо ведь следить за тем какие правки вносят в наш документ, чтобы док себя периодически выкладывал на сайте.

    ОтветитьУдалить
  3. Камон, дефолтные настройки ворда закричат пользователю о попытках подгрузить внешние элементы :)

    ОтветитьУдалить
    Ответы
    1. Выложил тестовый файлик в конце статьи. Попробуй, пожалуйста. Там только пиксельная гифка и ничего больше нет.

      Удалить
    2. твой IP - 83.ххх.хх.134 Staroderevyankovskaya! :)

      Удалить
  4. Если этот док прочитают ФСТЭК с ФСБ у них появится хорошая база нарушителей грифов ДСП.

    ОтветитьУдалить
  5. Дело закончится тотальным блокированием адресов этого сервиса в рамках организаций и частных сетей. На всякий случай

    ОтветитьУдалить
    Ответы
    1. Лишь лень помешала поднять мне вебсервер на бесплатном инстансе в амазоновском облаке.

      Amazon блокировать будет только идиот.

      Удалить
    2. а где взять сервер?

      Удалить
    3. Подойдет любой софт, который умеет логировать http запросы.
      Может, чуть позже выложу мануальчик.

      Удалить
  6. А мужики то и не знали, что живут в суровых условиях интнрнета

    ОтветитьУдалить
  7. Этот комментарий был удален автором.

    ОтветитьУдалить
  8. Интересно с 13м "словом" тоже работает при всех рекомендуемых(по умолчанию) настройках?

    ОтветитьУдалить
  9. Этот комментарий был удален администратором блога.

    ОтветитьУдалить
  10. вы поедите на конференцию антифрод russia 2013 28 ноября?

    ОтветитьУдалить
  11. Фаерволл персональный правильно настраивать надо. Нехрен всяким вордам в интернеты лазить.

    ОтветитьУдалить