office钓鱼免杀宏的制作

最新推荐文章于 2024-05-26 16:34:14 发布
最新推荐文章于 2024-05-26 16:34:14 发布
阅读量2.8k 收藏 24
点赞数 3
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jd_cx/article/details/119380386
版权

office钓鱼免杀宏的制作

由于国内近些年来,红蓝对抗的升级,各类hvv,重保,防守方上各种杀软,edr,防御手段层出不穷,不会免杀真的是欲哭无泪,今天带来EvilClippy 恶意文档助手,对office宏进行免杀处理,红队小菜鸡,还望大佬带飞。

通过cobalt strike生成宏payload

1.通过cs生成office宏木马
cs生成office宏木马
2.点击 copy macro 复制生成的宏代码
复制生成的宏代码
3.新建一个文档,点击 “开发工具 — Visual Basic”
打开vba编辑器
4.双击 “ThisDocument” ,将原有内容全部清空,然后将 CobaltStrike 生成宏 payload 粘贴进来
粘贴生成的代码
5.全部粘贴进去,保存并关闭该 VBA 编辑器
保存并关闭vba编辑器
6.保存为2.doc,保存的时候记得关闭杀软,特征明显容易被杀软查杀
保存为2.doc
7.创建一个无毒的vba脚本,保存为vba格式
随意创建一个无毒的vba
8.保存为2.vba
保存为2.vba
9.通过EvilClippy创建恶意MS Office文档,进行免杀混淆,EvilClippy功能有以下几点
一、 在GUI编辑器中隐藏VBA宏;
二、 混淆安全分析工具;
三、 VBA Stomping;
四、 引入VBA P-Code伪编码;
五、 设置远程VBA项目锁定保护机制;
六、 通过HTTP提供VBA Stomped模板;
10.EvilClippy工具使用如下图所示
EvilClippy工具常见使用
11.使用P-code进行编码混淆
使用P-code进行编码混淆
12.重命名后进行火绒查杀,能够成功绕过火绒进行上线
重命名通过火绒查杀
13.virustotal检出率有5/60,国内主流的杀软检测通过国内主流杀软通过
14.微步检测只有两个引擎可以检出,也是显示安全
微步沙箱检测
15.腾讯哈勃检测显示为安全
腾讯哈勃检测
16.CobaltStrike 生成默认的 VBA 会导入四个 Windows API 函数,常见的 ShellCode 加载器 代码:

CreateRemoteThread 创建一个在其它进程地址空间中运行的线程(也称:创建远程线程).
VirtualAllocEx 指定进程的虚拟空间保留或提交内存区域
WriteProcessMemory 写入某一进程的内存区域
CreateProcess 创建一个新的进程和它的主线程,这个新进程运行指定的可执行文件
4个Windows API函数
17.其中 Array(-4,-24,-119,0,0,0,96,-119,-27…就是 ShellCode,ShellCode 可以自己在 VBA 里解码或者比如每个元素自增 或自减,运行的时候把自增自减重新运算回去,达到免杀
在这里插入图片描述

Sword-heart
关注
  • 3
    点赞
  • 24
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
Office恶意脚本技术研究
不忘初心,护天下安全!
05-15 508
非PE的间接文件:A、基于(类型III:Offic文档、PDF文档)
红蓝对抗钓鱼篇之从入门到放弃
xnxqwzy的博客
09-13 155
上一章讲到邮件服务器的搭建和使用,那么这章就具体讲解利用方式。在大型企业边界安全做的越来越好的情况下,不管是 APT 攻击还是红蓝对抗演练,钓鱼和水坑攻击被越来越多的应用。钓鱼往往需要免杀技术的支撑,但本章只讲述钓鱼和些许免杀技术,免杀系列学习在后续讲解。
EvilClippy:用于创建恶意MS Office文档的跨平台助手。 可以隐藏VBA,踩VBA代码(通过P代码)并混淆分析工具。 在Linux,OSX和Windows上运行
05-24
该工具已在我们的BlackHat Asia演讲中(2019年3月28日)发布。 有关此演讲的视频记录,请访问 。 邪恶的短片 用于创建恶意MS Office文档的跨平台助手。 可以隐藏VBA,踩VBA代码(通过P代码)并混淆分析工具。 在Linux,OSX和Windows上运行。 如果您不熟悉此工具,则可能需要阅读我们关于Evil Clippy的博客文章开始: : 该项目应仅用于授权测试或教育目的。 当前功能 从GUI编辑器隐藏VBA VBA重踩(滥用P代码) 傻瓜分析师工具 通过HTTP服务VBA重载的模板 设置/删除VBA项目锁定/不可见的保护 如果您不知道所有这些是什么,请首先查看以下资源: 这有多有效? 在撰写本文时,此工具能够获取默认的Cobalt Strike,以绕过大多数主要的防病毒产品和各种maldoc分析工具(通过结合使用VBA重踏和随机模块名称)。
红蓝对抗经验分享:CS免杀姿势
最新发布
白帽子凯哥聊黑客
05-26 647
红队在攻防演练中一般使用钓鱼实现突破边界,蓝队通过钓鱼实现溯源反制,但是都离不开一个好的免杀马,这里分享一下自己的免杀过程,过火绒、360杀毒、Windows defender以及赛门铁克等主流杀软都没问题。多测试总会有新发现,实践起来相对稍微容易一点儿,不过需要注意免杀之后的效果是最重要的。网络安全学习资源分享:给大家分享一份全套的网络安全学习资料,给那些想学习 网络安全的小伙伴们一点帮助!对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。
钓鱼篇-利用RLO隐藏exe&文件捆绑&office免杀-远程模板加载上线CS
weixin_45701675的博客
11-26 1801
钓鱼篇-利用RLO隐藏exe&文件捆绑&office免杀-远程模板加载上线CS
Evilclippy.exe使用教程
dakhda的博客
09-01 229
【代码】Evilclippy.exe使用教程。
免杀对抗-免杀
xiaoheizi的博客
10-07 1361
编译:csc.exe /reference:OpenMcdf.dll,System.IO.Compression.FileSystem.dll /out:EvilClippy.exe *.cs。5..将原生态文件cs.doc和经过踩踏的文件cs_EvilClippy.doc上传到恶意文件评测平台。4.点击开发工具——新建 ——任意 名——的位置(之前新建的word文档)——创建。5.跳转到如下,将cs生成的代码写入——点击保存——取消。3.自定义功能区——勾选 开发工具——点击确定。
2022-2024常用经典免杀技术汇总!
03-27
在网络安全领域,免杀技术(Evasion)是指恶意软件开发者使用的一种策略,旨在逃避安全软件的检测和防御机制。免杀技术通常涉及多种方法和技术,包括但不限于代码混淆、行为隐藏、利用系统漏洞以及对抗反病毒引擎。...
免杀工具非法指令添加
05-15
在IT安全领域,免杀工具通常是指那些帮助恶意软件或黑客工具逃避安全软件检测的程序。这类工具的主要目的是为了让病毒、木马或者其他恶意代码能够绕过防病毒软件的查杀,从而在目标系统中顺利执行。标题“免杀工具...
免杀版轻松控制.
08-14
标题中的“免杀版轻松控制”暗示这可能是一款具有远程控制功能的软件,而且经过了某种方式的修改,使其能够避开安全软件的检测,也就是常说的“免杀”技术。在IT领域,免杀通常指的是恶意软件或黑客工具通过各种手段...
office病毒专杀
08-02
"Office病毒专杀"这一标题明确指出我们要讨论的主题是针对Microsoft Office软件中的病毒进行清除的技术和方法。病毒是一种特殊类型的计算机病毒,它利用Office文档(如Word、Excel或PowerPoint)中的功能来...
甲壳虫免杀组gh0st远控
02-27
【甲壳虫免杀组gh0st远控】是一种针对计算机系统的远程控制工具,由甲壳虫免杀组开发。这个工具的主要特点是其强大的隐蔽性和抗检测能力,使得它能够绕过安全防护软件的检测,从而实现对目标系统的悄无声息的控制。...
输入表免杀技术总结
10-16
输入表免杀技术是网络安全领域中的一个重要话题,主要用于绕过安全检测系统,使得恶意代码能够逃避检测并执行。这项技术通常被黑客或恶意软件开发者用来提高其攻击的有效性和隐蔽性。下面将对输入表免杀技术进行详尽...
研究与免杀过360五引擎.rar
02-15
在IT安全领域,"免杀"(免检测或逃避杀毒软件)是一种技术,它涉及到如何使恶意软件避开反病毒软件的检测。标题"研究与免杀过360五引擎.rar"暗示了这个压缩包内容是关于如何让恶意代码绕过360安全卫士的五个扫描引擎...
最新暗组2009免杀教程
02-03
8. **社会工程学**:虽然不是技术性免杀,但教程可能会提到如何利用社会工程学手段,如钓鱼邮件、伪装更新等,诱导用户主动运行恶意软件,从而绕过安全防护。 9. **实时对抗**:免杀技术是一个动态的过程,因为安全...
华中帝国2011最新免杀工具包
11-26
9. **社会工程学工具**:除了技术手段,免杀工具包可能还包含一些社会工程学工具,如钓鱼工具或伪装成正常软件的诱饵,以欺骗用户或绕过安全策略。 10. **漏洞利用工具**:为了成功绕过安全防护,工具包可能包含...
word木马分离免杀
dakhda的博客
09-01 347
保存成dotm格式文档:
Flash钓鱼->CS上线(免杀过火绒、360等)
热门推荐
weixin_54227009的博客
05-13 1万+
这个马儿是rar压缩的,做成的rar解压自启动,所以是个exe的文件,然后这里为了像一点,把图标给改了。这里砸门为了逼真一点,所以把这个压缩包的图标改成Flash的图标。3、将免杀的exe跟生成的PayloadFile进行压缩。5、将这个exe的压缩包的路径放在砸门服务器上的flash.js上即可。执行路径为:C:\Windows\Temp\Flash.exe。3.4、高级->模式->静默模式->全部隐藏。这里我把解压路径给改成了:C:\Windows\Temp。3.2、 高级->常规->解压路径。
CS制作office病毒钓鱼
qq_53297395的博客
05-19 2122
一、实验目的 1. 利用CobaltStrile生成word病毒的钓鱼payload,实现远程控制对方主机 二、实验器材 1.vmware 15.5 2.kali linux 3.cobaltstrike 4.windows 10两台 5.office 2019 三、实验内容 1.让kali作为cs的服务器端,一个win10作为cs的客户端,另一个win 10作为被攻击者,先看kali的ip:10.138.128.128 2.进入cobaltstrike文件夹,查看默认的cs密码.
欧美免费a∨ 网页搜索
09-18
欧美免费a∨ 网页搜索指的是在欧洲和美国范围内可以免费搜索包含成人内容的网页。在这些地区,一部分网站允许用户免费访问与成人相关的内容。 然而,需要注意的是,访问这些网站时要遵守当地法律法规以及网站的使用条款。在许多国家和地区,成人内容可能受到严格的监管和控制。因此,在浏览欧美免费a∨网页时,用户应当自觉遵守法律,尊重其他人的权益,不传播、转发或分享未经授权的成人内容。 此外,欧美免费a∨网页搜索也存在一些安全风险。因为这些网站可能包含恶意软件、钓鱼网站或其他针对用户隐私和数据的潜在威胁。因此,在使用这些免费a∨搜索引擎时,用户应格外警惕,保护个人隐私和设备安全。 总之,欧美免费a∨网页搜索提供了一种免费浏览成人内容的方式,但需要用户自觉遵守法律法规,并注意保护个人隐私和设备安全。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值