Наверное, всем интересно, куда в конце концов попадает ваше резюме, или каким конкурентам заказчик сливает ваше тэкапэ, или слил ли уже кто-то с вашего сервера вашу бэдэ и т.д.
Решить эту проблему можно с помощью старого доброго Мелкомягкого Слова!
1. С помощью сервиса HoneyDocs, или IPlogger готовим специальную картинку.
Сервис HoneyDocs позволяет смотреть UserAgent'а потенциальной жертвы, поэтому я выбрал его.
Чтобы выдрать URL картинки HoneyDocs, регистрируемся (бесплатно) и качаем архив со сгенерированными документами.
Открываем присланный html фаил блокнотом и находим URL картинки.
Выглядеть он будет как-то так:
https://honeydocs.herokuapp.com/img/html/<куча_цифр_и_букв>.gif
Обратите внимание - размер гифки 1 пиксель!
2. Вставляем картинку в Word.
Открываем нужный док и вставляем нашу картинку.
Копируем в поле File name наш URL и (важно!) щелкаем по правой стрелке и выбираем Insert and Link.
Результат будет выглядеть как-то так:
3. Открываем админку. Смотрим кто, где и чем открывал наш фаил.
При открытии фаила, Word начинает подгружать все картинки, которые размещены в документе в виде линков. Разместив в файле вместо самой картинки ссылку, мы можем мониторить обращения Word'а к нашему серверу, тем самым полностью демаскируя пользователя.
Для особо прокуренных аксакалов внешней разведки, указанный процесс можно организовать с помощью корпоративного вебсервера и парсера логов, натравленного на нужный URL. А нужный URL сделать не на подозрительную (хоть и незаметную) пиксельную гифку, а на корпоративный логотип (на случай ребрендинга! ;)).
В режиме защищенного просмотра (Protected view) этот трюк не сработает =(. Поэтому желательно ваши файлы отправлять по почте (или публиковать на сайте) в архиве. Это позволит избежать излишней подозрительности Word'а к свежескачанному контенту.
Удобного и простого средства защиты от этого трюка я не знаю (может, в комментах подскажут?). Могу только посоветовать открывать в защищенном режиме все чужие документы.
[UPDATE] тестовый файлик. Абсолютно безопасно!
да это просто бомба
ОтветитьУдалитьЕщё бы сервис который сразу whois по ip-адресу пробивает. Чтобы каждый ip не проверять.
А выгрузка логов из HoneyDocs возможна?
Я обычно пользуюсь whois от domaintools.
Удалитьhttp://whois.domaintools.com/127.0.0.1
Собственно нужный IP вбиваю прям в URL.
Логи вроде не выгрузишь. В платном аккаунте есть алерты (смс, емаил).
А в следующей статье будешь встраивать трояна через VB. Надо ведь следить за тем какие правки вносят в наш документ, чтобы док себя периодически выкладывал на сайте.
ОтветитьУдалитьНа VBS уже могут обидеться вплоть до 272 УК РФ.
УдалитьКамон, дефолтные настройки ворда закричат пользователю о попытках подгрузить внешние элементы :)
ОтветитьУдалитьВыложил тестовый файлик в конце статьи. Попробуй, пожалуйста. Там только пиксельная гифка и ничего больше нет.
УдалитьНе ругался
Удалитьтвой IP - 83.ххх.хх.134 Staroderevyankovskaya! :)
УдалитьЕсли этот док прочитают ФСТЭК с ФСБ у них появится хорошая база нарушителей грифов ДСП.
ОтветитьУдалитьДело закончится тотальным блокированием адресов этого сервиса в рамках организаций и частных сетей. На всякий случай
ОтветитьУдалитьЛишь лень помешала поднять мне вебсервер на бесплатном инстансе в амазоновском облаке.
УдалитьAmazon блокировать будет только идиот.
а где взять сервер?
УдалитьПодойдет любой софт, который умеет логировать http запросы.
УдалитьМожет, чуть позже выложу мануальчик.
А мужики то и не знали, что живут в суровых условиях интнрнета
ОтветитьУдалитьЭтот комментарий был удален автором.
ОтветитьУдалитьнеплохо, ага..
ОтветитьУдалитьИнтересно с 13м "словом" тоже работает при всех рекомендуемых(по умолчанию) настройках?
ОтветитьУдалитьРаботает, только что проверил :)
УдалитьЭтот комментарий был удален администратором блога.
ОтветитьУдалитьБез мата. ок?
Удалитьвы поедите на конференцию антифрод russia 2013 28 ноября?
ОтветитьУдалитьможет быть потом напишите отзыв?
ОтветитьУдалитьФаерволл персональный правильно настраивать надо. Нехрен всяким вордам в интернеты лазить.
ОтветитьУдалить