让黑客也感到害怕的工具:邪恶的回形针——Evil Clippy
在2019年的BlackHat亚洲会议上,一个隐藏恶意Microsoft Office文档的新工具横空出世。这就是我们今天要推荐的开源项目——Evil Clippy,它能巧妙地隐藏VBA宏,滥用P-Code混淆分析工具,并且跨平台支持Linux、OSX和Windows。
项目介绍
Evil Clippy这个名字灵感来源于Microsoft Office中的经典助手“回形针”,但它并非善类。它的主要功能是辅助创建难以检测的恶意Office文件,通过隐藏宏、P-Code混淆等手段,让安全分析师头痛不已。如果你对这个领域还比较陌生,可以通过项目提供的博客链接或相关资源来进一步了解。
技术分析
Evil Clippy利用了OpenMCDF库来操作MS Office Compound File Binary Format(CFBF)文件,并基于MS-OVBA规范实现了一些独特的功能。例如,它使用了VBA stomping(P-Code滥用),这是一种不为众人所知的技术,可以让恶意代码避开大多数主流防病毒软件和恶意文档分析工具。此外,项目还复用了Kavod.VBA.Compression的部分代码,用于处理dir和module流中的压缩算法。
应用场景
这款工具在合法的安全测试和教育中大有用武之地。对于红队成员和渗透测试者来说,它可以制造出极具挑战性的恶意文档,以测试和提升组织的安全防护能力。同时,对于研究恶意软件行为的学者和开发者,Evil Clippy提供了深入理解Office文件格式和VBA宏机制的实践机会。
项目特点
- 跨平台兼容性:无论是在Linux、OSX还是Windows上,都能顺畅运行。
- 多功能性:除了隐藏宏,还能设置/移除VBA项目锁定、随机化模块名,以及滥用P-Code进行混淆。
- 易用性:提供了详细的命令行选项,用户可以轻松进行操作。
- 效果显著:据开发团队称,其在测试中成功绕过了多数主流防病毒产品和分析工具。
编译与使用
Evil Clippy没有提供预编译的二进制版本,但你可以自行使用Mono C#编译器(Linux & MacOS)或Visual Studio(Windows)进行编译。通过简单的命令行参数,就能实现所有功能,如打印帮助信息、隐藏/显示宏、设置目标Office版本等。
总结,Evil Clippy是一个强大而复杂的工具,对安全专业人士而言,它提供了一个学习和探索新威胁模型的宝贵平台。但是,请务必仅限于授权测试和教育目的使用。现在就去尝试一下,看看你能用它创造出什么样的“惊喜”吧!