NotDoor metoda wykradania danych z Outlooka
by vbatools on Sep.14, 2025, under Newsy
Na stronie Sekurak pojawił się artykuł zbieżny z moim zainteresowaniem o tytule: “Outlook wykorzystany przez grupę APT28 jako narzędzie szpiegowskie. Na celowniku kraje NATO“ zatem zająłem stanowisko tej sprawie i jeśli jesteście ciekawi to wyjaśniam o tym w komentarzu jak i poniżej w rozwinięciu tego bloga:
Nie bardzo widzę jak się zabezpieczyć przed takim atakiem (nadanie uprawnień, podłożenie nowego pliku OTM oraz ściągnięcie ustawień makr), ale wiem że łatwo można się zorientować czy nasz komputer został zainfekowany.
Plik OTM to zwykłe repozytorium VBA, jak plik personal w Excelu, zatem można samemu wrzucić do klasy thisoutlooksession procedurę startową Application_Startup wyświetlającą komunikat np: msgbox “Mój plik makr jest bezpieczny” vbinformaction. Wynikiem czego komunikat taki będzie się pokazywał za każdym razem kiedy włączymy tego klienta poczty.
Plik repozytorium OTM należy zablokować hasłem oraz dodatkowo można podpisać własnym kluczem, co wykluczy dodanie do niego obcego kodu. Mechanizm opisany w artykule zamienia ten plik na własny, a w momencie uruchomienia aplikacji (bo tylko w tedy ona wysyła maile) jeśli nie będzie naszego komunikatu to znaczyć może że albo coś wyłączyło makra, albo ktoś nam zamienił plik z kodem. Zatem w tym przypadku przełączamy się na offline i sprawdzamy czy OTM nie został zamieniony.
W takim przypadku kasujemy plik sprawcy i zastępujemy ponownie na nasz, czym w 100% się bronimy do czasu następnej próby. Aby ta nie nastąpiła sprawdzany wg opisu w artykule instrukcji powodującej jego podmianę aby przy kolejnym restarcie sprawa nie przybrała identyczny obrót. Jeżeli takowego nie znajdujemy to wystarczy w autostarcie wrzucić zamianę naszego pliku.
Minus takiego przedsięwzięcia jest taki, że jeśli programujemy coś w Outlooku i mamy własne kody, to zamieniany plik musi być rozwijany i zamieniany z naszym kodem (poza komunikatem w procedurze startowej).
(c) Shon Oskar – www.VBATools.pl
Wszelkie prawa zastrzeżone. Żadna część ani całość tego artykułu nie może być powielana ani publikowana bez zgody autora.
-
Kontakt i społeczność:
Wlepka:
Polecaj nas dla kasy
