Stomping Microsoft Word

Vandaag ga ik het hebben over “stomping”, jij vraagt je waarschijnlijk af wat dit is en wat het doet. Dan ben je zojuist bij het juiste adres gearriveerd !

Stomping is een techniek waarbij de aanvaller de VBA macro code weghaalt met behulp van bijvoorbeeld een hex editor, hierdoor kan een aanvaller antivirus producten omzeilen (niet altijd !). Een microsoft office document heeft namelijk P-code, dit wordt gecompileerd vanuit de VBA macro. Echter werkt P-code alleen als het document wordt geopend met dezelfde versie als waarin het is gemaakt.

Als ik als aanvaller een macro maak in office 2016 en ik verstuur de macro naar iemand anders die wederom ook office 2016 gebruikt dan zal het bestand worden geopend en de P-code worden uitgevoerd en niet de visuele VBA. Indien de slachtoffer een andere versie gebruikt van office dan zal hij de VBA code uitvoeren en niet de P-code.

Dus de P-code is de gecompileerde VBA code voor de specifieke versie !

In onderstaande voorbeeld zie je een voorbeeld van een hex editor programma waarmee ik een document open. Om dit te doen moet je het document inladen als ‘OLE Compound file’.

In bovenstaande afbeelding zie je een map genaamd ‘Macros’ hierin bevinden zich de macro”,

Het eerste wat belangrijk is om naar te kijken is de ‘PROJECT’, hier staat project informatie in.

Wat opvalt is het stukje dat hieronder gemarkeerd is.

Dit geeft het project aan. De volgende stap is om te kijken welke macro’s er aanwezig zijn.

Er is 1 macro aanwezig genaamd ‘NewMacros’, deze gaan wij aanpassen en leegmaken zodat de VBA code niet meer zichtbaar is en alleen de P-Code nog over is. LET OP DIT WERKT ALS DE SLACHTOFFER DEZELFDE OFFICE VERSIE HEEFT ALS WAARIN DIT WORD GEMAAKT !

Zodra er op geklikt is moet er gezocht worden naar ‘Attribute VB_Name’

Vervolgens moeten we dit hele stuk tot de laatste byte weghalen.

Vervolgens moeten wij dit vervangen met null bytes.

Klik op ‘OK’ en het ziet er als volgt uit:

Sla het bestand nu op en sluit het programma en open het document opnieuw.

De macro editor is nu leeg dus het heeft gewerkt !

Als jij nu op de knop ‘Enable macro’ klikt komt de macro wel weer tevoorschijn maar dan is het al te laat haha !

Bedankt voor het lezen en tot de volgende keer !

Please share and spread
NederlandsEnglish