office ole com 查看_Office如何快速进行宏免杀

最新推荐文章于 2023-09-01 12:22:54 发布
最新推荐文章于 2023-09-01 12:22:54 发布
阅读量240 收藏
点赞数
文章标签: office ole com 查看
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39900676/article/details/111677066
版权
本文介绍了如何使用CobaltStrike生成宏,并通过VBA混淆技术来实现宏免杀。讲解了如何创建和编辑VBA宏,以及利用EvilClippy混淆工具来逃避静态查杀。同时提到了动态查杀测试,如火绒和360的安全检测。
摘要由CSDN通过智能技术生成

前言 

Office 宏,译自英文单词 Macro。宏是 Office 自带的一种高级脚本特性,通过 VBA 代码, 可以在 Office 中去完成某项特定的任务,而不必再重复相同的动作,目的是让用户文档中 的一些任务自动化。而宏病毒是一种寄存在文档或模板的宏中的计算机病毒。一旦打开这样 的文档,其中的宏就会被执行,于是宏病毒就会被激活,转移到计算机上,并驻留在 Normal 模板上。

Visual Basic for Applications(VBA)是 Visual Basic 的一种宏语言,是微软开发出来在 其桌面应用程序中执行通用的自动化(OLE)任务的编程语言。主要能用来扩展 Windows 的 应用程序功能,特别是 Microsoft Office 软件,也可说是一种应用程式视觉化的 Basic 脚 本。

CobaltStrike 生成宏

267fbd297860c67c7c431701f3b2fc5a.png

打开 Word 文档,点击“Word 选项 — 自定义功能区 — 开发者工具(勾选) — 确定”。

c7b64635485c69a551b79c5557681565.png

编写主体内容后,点击 “开发工具 — Visual Basic” 。

8702729cd3a5d6b4603578bf06f5b697.png

双击 “ThisDocument” ,将原有内容全部清空,然后将 CobaltStrike 生成宏 payload

bd8fadff96968883c520b68fe6aec556.png

全部粘贴进去,保存并关闭该 VBA 编辑器 。

b728cf2616b2f77ce79898215d75d9da.png

另存为的 Word 类型务必要选”Word 97-2003 文档 (*.doc)”,即 doc 文件,保证低版 本可以打开。之后关闭,再打开即可执行宏代码。

如何快速处理宏免杀

说到免杀要搞清楚我们的附件在什么环节被杀了,首先科普一下当下杀软的三种查杀方式:1.静态查杀 2.云查杀 3.行为查杀。

邮件服务器为了可用性和隐私性一般只有静态查杀。所以我们只需要规避特征值绕过静态查杀就可以让钓鱼附件进入收件箱了。

如何规避静态查杀?最好的办法当然是自己写恶意代码,但大部分云黑客都是脚本小子,这也没关系,现在 gayhub 上也有很多免杀开源的脚本。这里以 EvilClippy 作为演示 用于创建恶意 MS Office 文档的跨平台助手。

可以隐藏 VBA 宏,踩 VBA 代码(通过 P 代 码)并混淆宏分析工具。

在 Linux,OSX 和 Windows 上运行。

gayhub地址: 

https://github.com/outflanknl/EvilClippy 

直接下载编译好的版本: 地址:https://github.com/outflanknl/EvilClippy/releases

3caf8293ddf06c86a3847152249c3da4.png

把这两个下载回来即可 使用方法:

EvilClippy.exe -s hello.vba diaoyu.doc

参数说明:-s 参数是通过假的 vba 代码插入到模块中,用以混淆杀毒程序,这里我们需要写一个正常 无毒正常的 vba 脚本

免杀测试

新建一个包含宏的 docx 文档

ad36d6c3240969dab2a8961169143857.png

然后点开发工具>>>>>点击宏

bd5dc53d258ab00e23f393a0859fb401.png

16381435be295c4469d64f2750d5015a.png

宏的位置选择当前文档,然后点击创建

5b01aed45196971f112acefea649bc3c.png

然后再把 CS生成的宏代码复制进去,Ctrl+A 全选,然后 Ctrl+C 粘贴

d4320c1902c34900d632df27fcbfcfea.png

CS 生成宏代码流程

7d53f671d8365d625c9e586f238db994.png

d88cc407d1b751345db41b3edcdb226b.png

然后粘贴进来

04be119836abc6cee9ba117187d733bb.png

再 Ctrl+S 保存

fe6f03756f8f241ef57bccf981aa6eb9.png

这里需要选择否,然后保存为启用宏的 word 文档

2f19b2fff0c4bf58044a4b72a7ce1748.png

注意:这里一定要先关闭杀软,不然会保存失败,因为现在还没有做免杀处理 

然后文件夹下就有 233.docm 这个文件了 然后再创建一个简单的无毒 vba 脚本

ef20d3fdd06422bd2aab137172d86f0b.png

保存退出,命名为 2.vba

bb3a3f6e924fc0608f7009954b09c222.png

然后按住 shift,点击鼠标右键即可在当前路径下打开 cmd 窗口

EvilClippy.exe -s 2.vba 233.docm

6fb487183fe825388722186a60d483bb.png

记得重新命名下,这里我重新命名为帝国时代.docm

4d715d92d8af6fc309eee460c4af3818.png

然后咱们去查杀下,火绒查杀

89af431c9b595caae7c1591279e66e87.png

VirusTotal

7958c0b42b793216363cfcfef07d67da.png

效果还不是特别理想,自己可以改下混淆的 vba 脚本,效果会更好 包括卡巴斯基以及 windows 自带的杀软均不拦截查杀,效果还很好用 试下动态查杀,咱们运行下,火绒和 360 均可以成功上线

9b53663f52b89c4ac6115b49c921bfff.png

成功上线

b5df7cf1ed22b0595c996465667efcf7.png

关掉 Word后,CS 上依旧是可以执行命令的

PS:

VBA 宏代码解释:CobaltStrike 生成默认的 VBA 会导入四个 Windows API 函数,常见的 ShellCode 加载器 代码:

3493ff1f2619185a821c9c4d8586bf74.png

CreateRemoteThread 创建一个在其它进程地址空间中运行的线程(也称:创建远程线程).VirtualAllocEx 指定进程的虚拟空间保留或提交内存区域WriteProcessMemory 写入某一进程的内存区域CreateProcess 创建一个新的进程和它的主线程,这个新进程运行指定的可执行文件其中 Array(-4,-24,-119,0,0,0,96,-119,-27...就是 ShellCode,混淆的办法有很多种。ShellCode 可以自己在 VBA 里解码或者比如每个元素自增 1,运行的时候-1,达到免杀 ……

3d9da1770c0238a6ccdc53c101ccf34c.png

推荐阅读:

office宏

https://payloads.online/archivers/2019-05-16/1

进击的恶意文档之 VBA 进阶之旅

https://forum.90sec.com/t/topic/248 

7 分钟入门 Excel VBA,从此打开新世界的大门 https://www.jianshu.com/p/1a529d5f824a

一小时搞定 简单VBA编程 Excel宏编程快速扫盲

https://blog.csdn.net/u014339020/article/details/79103059 

Excel VBA 编程教程

https://www.w3cschool.cn/excelvba/

465a23f303f9de7595b13de8641d9811.png

点赞,转发,在看

2672ec0d1b860ce6a599f900d0493e6b.gif

weixin_39900676
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
红蓝对抗钓鱼篇之从入门到放弃
xnxqwzy的博客
09-13 196
上一章讲到邮件服务器的搭建和使用,那么这章就具体讲解利用方式。在大型企业边界安全做的越来越好的情况下,不管是 APT 攻击还是红蓝对抗演练,钓鱼和水坑攻击被越来越多的应用。钓鱼往往需要免杀技术的支撑,但本章只讲述钓鱼和些许免杀技术,免杀系列学习在后续讲解。
免杀对抗-免杀
最新发布
xiaoheizi的博客
10-07 1408
编译:csc.exe /reference:OpenMcdf.dll,System.IO.Compression.FileSystem.dll /out:EvilClippy.exe *.cs。5..将原生态文件cs.doc和经过踩踏的文件cs_EvilClippy.doc上传到恶意文件评测平台。4.点击开发工具——新建 ——任意 名——的位置(之前新建的word文档)——创建。5.跳转到如下,将cs生成的代码写入——点击保存——取消。3.自定义功能区——勾选 开发工具——点击确定。
office钓鱼免杀的制作
swordheart的博客
08-04 2953
office钓鱼免杀的制作 由于国内近些年来,红蓝对抗的升级,各类hvv,重保,防守方上各种杀软,edr,防御手段层出不穷,不会免杀真的是欲哭无泪,今天带来EvilClippy 恶意文档助手,对office进行免杀处理,红队小菜鸡,还望大佬带飞。 通过cobalt strike生成payload 1.通过cs生成office木马 2.点击 copy macro 复制生成的代码 3.新建一个文档,点击 “开发工具 — Visual Basic” 4.双击 “ThisDocument” ,将原有
word木马分离免杀
dakhda的博客
09-01 381
保存成dotm格式文档:
重装上阵:OFFICE攻击来袭.pdf
08-08
- **安全配置**:对Office软件进行安全配置,关闭不必要的功能,如的默认执行。 - **漏洞管理**:利用漏洞扫描和管理工具,定期检查系统中的Office应用,确保没有已知漏洞未修复。 - **教育与培训**:对用户进行...
Microsoft Office 4.3
05-19
Office 4.3还引入了一些关键的技术改进,如OLE(Object Linking and Embedding),允许不同应用程序之间嵌入和链接对象,增强了文件间的交互性。此外,VBA(Visual Basic for Applications)的引入,让编程更为...
Excel-VBA编程实例源代码-随机新增控件并设置.zip
12-15
- **VBA环境**:VBA集成在Microsoft Office应用程序中,如Excel,可以通过开发者工具中的Visual Basic编辑器(VBE)进行访问。 - **模块与过程**:VBA代码通常包含在模块中,模块可以有子过程(Sub)和函数过程...
office 各模块介绍
05-05
### Microsoft Office各模块详细介绍 #### 一、Microsoft Office概述 Microsoft Office是一套由微软公司开发的办公软件,专为Microsoft Windows和Apple Macintosh操作系统设计。它不仅包含了多种办公室应用程序,...
Excel-VBA编程实例源代码-获取ActiveX控件.zip
12-14
5. 文件操作:VBA可以读取、写入或合并多个Excel文件,方便进行批量处理。 在"获取ActiveX控件.xlsm"这个文件中,我们可以学习到如何用VBA来: 1. 访问和识别工作表上的ActiveX控件:使用`ActiveSheet.OLE...
xsl 访问其他xml_加载远程XSL文件的免杀方法
weixin_39853590的博客
11-27 545
前言打点越来越难了,社工钓鱼会是最常见的攻击手段,0day会是最有效的攻击手段,物理渗透会是危害最大的攻击手段。在钓鱼攻击中木马的形式主要如下:OfficeDLL劫持假冒加固工具木马捆绑通常办公软件Office具有最大的安装量,将文档插入邮件中已经是惯用的工作方式。但是Office常见的攻击方法:0day已知CVE漏洞DDEAUTO注入执行命令第一种方法直接跳过,已知的CVE漏洞特征太...
Cobalt-Strike Office利用与免杀
weixin_48967543的博客
04-29 1659
1.打开Cobalt-Strike生产Office病毒。 首先需要设置监听器、因为钓鱼的目标比较单纯,在这里就不采用域前置技术。 然后使用攻击模块,生产Office病毒。 设置好监听器。 生成病毒 2.将病毒放入word 首先打开Word,在审阅中编辑: 创建新的: 将生成的病毒放入Microsoft Word目录下的ThisDocument,注意如果位置写错了很容易报错。 按下Ctrl+S,将文件保存为启用的Word文档,注意这里的作者需要修改,否则默认会使用账户名 此时带病毒的Wo.
利用MHT类型,免杀病毒
Sven的忘却日记
03-04 1952
首先使用Word创建一个利用代码弹MsgBox的样本,如下图: 保存内容后,另存为MHT格式文件 文件内容如下: 此时,再使用一些常用的ole分析工具,就识别不了这个类型了,比如正常的word文档可以使用压缩软件查看一些ole内部结构相关的数据 正常的word文档,使用7z查看 问题就在,如过把刚刚的2.mht 改成2.doc,完全不影响执行 ...
利用Office公式编辑器特殊处理逻辑的免杀技术分析(CVE-2017-11882)
betteroneisme的专栏
09-03 508
利用Office公式编辑器特殊处理逻辑的免杀技术分析(CVE-2017-11882) 阅读量 44989 | 评论 3 分享到: 发布时间:2018-09-11 10:00:14 背景 2018年8月24日,360威胁情报中心捕获到一个专门为乌克兰语使用者设计的钓鱼文档:该文档为RTF文件格式,且有详细的文档内容。360威胁情报中心经过分析确认这是首次发现的针对Of...
如何利用十行代码,绕过杀毒软件实现免杀?
zqf_office的专栏
04-04 2071
我原本打算写一篇冗长的博客讲述针对不同杀毒软件的绕过技术,但当我开始着手写教程的第一章并上传样本到 virustotal 后,我震惊了!样本得到了 0/56 的检测率。于是我决定扔掉先前的长篇大论,转而记录这个快速、令人难以置信的简单方法。 我相信大部分的读者都会同意这个观点,绕过大部分杀毒软件的基本方法都很平常没什么特殊的。然而,我也偶尔会遇到一些人仅仅依靠工具生成二进制文件,这些
钓鱼篇-利用RLO隐藏exe&文件捆绑&office免杀-远程模板加载上线CS
weixin_45701675的博客
11-26 1832
钓鱼篇-利用RLO隐藏exe&文件捆绑&office免杀-远程模板加载上线CS
病毒的研究与实例分析06——终结篇 进击的MACRO
鬼手的博客
07-24 2691
文章目录背景VBA stomping在VBA编辑器中隐藏使用旧版警告常用的规避杀软的手法结语参考文献 转自信安之路病毒分析小组组长::x-encounter 背景 ​ Office版本历经十几年的变迁,现已趋于成熟,但仍存在着新老版本交替使用的问题。Office 97-2003 Word的文件后缀为doc,新版本的Office文件后缀为docx,包含的文档后缀为docm。微软是不会允许将包含...
Cobalt Strike使用Cross C2上线Linux
Ms08067安全实验室
05-22 4199
0x01前言Cross C2是一个支持Linux & MacOS系统的拓展插件,支持用户自定义生成的动态库,以无文件落地的方式从内存中加载执行动态库或可执行文件,可做一些简单的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值