office宏攻击 | 您所在的位置:网站首页 › office 宏是什么 › office宏攻击 |
什么是宏宏病毒开启宏创建宏
CS创建监听器生成宏代码保存
上线免杀制作恶意文档上传服务器制作本地文档上线启用火绒
思路:CS生成宏病毒插入到office中
什么是宏
宏(Macro)是一种批量处理的称谓,是指能组织到一起作为独立的命令使用的一系列Word命令,可以实现任务执行的自动化,简化日常的工作。Microsoft Office使用Visual Basic for Applications(VBA)进行宏的编写。 注意,在Office中可以直接使用Word的宏函数,而WPS需要安装相关的软件后才能使用。打开WPS Word如下图所示,宏是不能使用的。 宏病毒那么,什么又是宏病毒呢? 宏病毒是一种寄存在文档或模板的宏中的计算机病毒,存在于数据文件或模板中(字处理文档、数据表格、数据库、演示文档等),使用宏语言编写,利用宏语言的功能将自己寄生到其他数据文档。 最早的时候,人们认为数据文档是不可能带有病毒的,因为数据文档不包含指令,直到宏病毒出现才改变大家的看法。当我们打开这样的文档,其中的宏就会被执行,于是宏病毒就会被激活,转移到计算机上,并驻留在Normal模板上。从此以后,所有自动保存的文档都会“感染”上这种宏病毒,而且如果其他用户打开了感染病毒的文档,宏病毒又会转移到他的计算机上。 开启宏启动office,选项->自定义功能区->开发工具 先创建一个宏,然后进入vb代码编写界面
回退到office页面,“保存类型”选择“启用宏的Word文档(*.docm)”
免杀方面使用远程加载的方式 缺点 目标主机的网速决定了加载远程模版的速度。有可能文件打开的会特别慢(例如将远程模版放在github),受害者可能在文件打开一半的时候强制关闭word。 优点 因为是远程加载,所以免杀效果十分不错。基本不会被杀毒软件拦截。 制作恶意文档还是熟悉的方式 既然是远程加载是需要把刚才制作的恶意文档上传上去,我这里图省事,就用phpstudy了,首先获取到文件路径 因为是远程加载嘛,所以我们还需要新建一个文档来远程加载服务器上的文档,新家文档的话,随意选择一个模板,双击保存退出 打开文档,启用宏 启动火绒之后 参考: 钓鱼那些事(初入Office宏攻击) 钓鱼与社工系列之office宏 CobaltStrike,你有一台主机上线了 远程加载含有恶意代码的word模版文件上线CS 白担心了 原来火绒这样清除病毒并不会删除文件 宏病毒之入门基础、防御措施、自发邮件及APT28样本分析 |
CopyRight 2018-2019 实验室设备网 版权所有 |