Ultima modifica:
Se l'exe è fatto in un certo modo l'AV non lo ferma, comunque se vuoi fare un attacco di SE convincente sfruttando solamente un .docx, l'unica strada optabile per me è fare recon e agire di conseguenza, se ti va bene puoi cavartela anche fabbricando un .docx che sfrutta CVE-2022-30190.In effetti, l'attacco di social engineering che descrivi sembra essere un tentativo elaborato, ma potenzialmente inefficace. L'utilizzo di un file .exe codificato in una stringa di base64 potrebbe rendere difficile per alcuni antivirus rilevare immediatamente il contenuto dannoso. Tuttavia, molti programmi di sicurezza e soluzioni antivirus sono in grado di riconoscere schemi comuni di attacchi, inclusi gli eseguibili mascherati in altre forme.
Inoltre, l'invio di un'email di phishing che chiede di eseguire un dropper travestito da password è un'azione altamente sospetta. Molti utenti attenti alla sicurezza sarebbero prudenti nel seguire questa richiesta, specialmente se non hanno una valida ragione per farlo. Questo può rendere l'attacco ancora meno efficace, poiché la parte fondamentale dell'ingegneria sociale è convincere il bersaglio ad agire in modo inconsapevole.
Io questa tecnica l'ho preparata ponendomi una sfida: immagina che ci siano condizioni di recon molto dure, (non sappiamo che versione di Office c'è sul lato target, se ha la patch di Follina, non sappiamo se ha un EDR, niente di come ha la security policy sull'esecuzione delle Macro e nemmeno se l'OS è x64 o x86) e quindi non sto sfruttando una vulnerabilità in MS Office, ma semplicemente Powershell, Batch e un PE x86. Comunque a parte le challenge su cui mi incaponisco, sono d'accordo con te: è molto difficile creare un attacco convincente come sto facendo io, senza fare recon è quasi impossibile.
PS. Il tutto detto assumendo che siamo in un contesto lecito ovviamente.