13 Сентября, 2013

Следим за всеми с помощью Microsoft Word

Артем Агеев
А устроим-ка мы свое АНБ.. с блэкджэком и шлюхами !

Наверное, всем интересно, куда в конце концов попадает ваше резюме, или каким конкурентам заказчик сливает ваше тэкапэ, или слил ли уже кто-то с вашего сервера вашу бэдэ и т.д.

Решить эту проблему можно с помощью старого доброго Мелкомягкого Слова!

name='more'> 1. С помощью сервиса HoneyDocs , или IPlogger  готовим специальную картинку.
Сервис HoneyDocs позволяет смотреть UserAgent'а потенциальной жертвы, поэтому я выбрал его.

Чтобы выдрать URL картинки HoneyDocs, регистрируемся (бесплатно) и качаем архив со сгенерированными документами.
Открываем присланный html фаил блокнотом и находим URL картинки. 
Выглядеть он будет как-то так: 
https://honeydocs.herokuapp.com/img/html/<куча_цифр_и_букв>.gif

Обратите внимание - размер гифки 1 пиксель! 

2. Вставляем картинку в Word.

Открываем нужный док и вставляем нашу картинку.

Копируем в поле File name наш URL и (важно!) щелкаем по правой стрелке и выбираем Insert and Link.


Результат будет выглядеть как-то так:

Если убрать с нее мышиное выделение - то белая точка на белом фоне будет полностью невидима.

3. Открываем админку . Смотрим кто, где и чем открывал наш фаил.

При открытии фаила, Word начинает подгружать все картинки, которые размещены в документе в виде линков. Разместив в файле вместо самой картинки ссылку, мы можем мониторить обращения Word'а к нашему серверу, тем самым полностью демаскируя пользователя.

Для особо прокуренных аксакалов внешней разведки, указанный процесс можно организовать с помощью корпоративного вебсервера и парсера логов, натравленного на нужный URL. А нужный URL сделать не на подозрительную (хоть и незаметную) пиксельную гифку, а на корпоративный логотип (на случай ребрендинга! ;)).

В режиме защищенного просмотра (Protected view) этот трюк не сработает =(. Поэтому желательно ваши файлы отправлять по почте (или публиковать на сайте) в архиве. Это позволит избежать излишней подозрительности Word'а к свежескачанному контенту.

Удобного и простого средства защиты от этого трюка я не знаю (может, в комментах подскажут?). Могу только посоветовать открывать в защищенном режиме все чужие документы. 

[UPDATE] тестовый файлик . Абсолютно безопасно!