干货 | 如何编写Word宏木马

  • A+
所属分类:安全文章

声明:本文仅供参考学习,本人及其平台不承担任何法律责任


限于篇幅,本文仅讨论windows office系列,wps系列原理大致相同.


1)什么是宏:


宏就是一些命令组织在一起,作为一个单独命令完成一个特定任务。Microsoft Word中对宏定义为:“宏就是能组织到一起作为一独立的命令使用的一系列word命令,它能使日常工作变得更容易”。Word使用宏语言Visual Basic将宏作为一系列指令来编写。


宏又分为局部宏和全局宏.全局宏对所有文档都有效,局部宏只对本文档有效.

注意:在office系列中是可以直接使用宏的,wps则需自己安装对应的软件.


2)如何录制一个宏

(word版本:2007)


首先点击开发工具,然后点击录制宏.

干货 | 如何编写Word宏木马

干货 | 如何编写Word宏木马

首先输入宏名,然后选择触发方式,将宏指定到按钮可以理解为添加一个快捷方式

干货 | 如何编写Word宏木马

干货 | 如何编写Word宏木马

当我们点击这个按钮的时候就会执行宏.

将宏指定到键盘相当于使用快捷键执行宏.


3)使用宏隐藏文字


在编写代码前,首先要更改两个设置

干货 | 如何编写Word宏木马

将箭头所所指的两个选项的对勾取消,否则隐藏字体将会失败.

Alt+F11打开VBA

干货 | 如何编写Word宏木马

这里录制了一个名为hidden的宏,用于隐藏文字

Vba的语法请自行学习,这里不再赘述.关于vba的更多API及其属性请参考微软官方档案

https://docs.microsoft.com/zh-cn/office/vbaa/api/overview/


4)什么是宏病毒


宏病毒是一种寄存在文档或模板的宏中的计算机病毒。一旦打开这样的文档,其中的宏就会被执行,于是宏病毒就会被激活,转移到计算机上,并驻留在Normal模板上。从此以后,所有自动保存的文档都会“感染”上这种宏病毒,而且如果其他用户打开了感染病毒的文档,宏病毒又会转移到他的计算机上。--------以上内容摘自百度百科

利用自动执行的宏达到取得控制权的目的,自动执行的宏名也可以在微软档案中找到.

https://docs.microsoft.com/zhcn/office/vba/word/concepts/customizing-word/auto-macros


干货 | 如何编写Word宏木马

编写宏如下

注意:在VBA中,不区分字母的大小写,AutoOpen和autoopen等价.

干货 | 如何编写Word宏木马

干货 | 如何编写Word宏木马


5)编写宏病毒


典型案例(CDO自发邮箱获取系统用户名):

可以获取的信息有很多,这里以获取系统用户名为例

代码如下:

干货 | 如何编写Word宏木马

干货 | 如何编写Word宏木马

总结:

 攻击思路:在实战中有一个吸引人的文件名很重要,同时最关键的是引诱他主动降低宏的安全性,例如某个拙劣之际的APT组织对我国医疗机构的定向攻击.

干货 | 如何编写Word宏木马

防守思路:

1:在线沙箱检测文档是否宏病毒。

2: 开启禁用宏

3: 安装杀毒软件

宏病毒攻击方式多种多样(邮箱钓鱼,云宏病毒,下载木马等等)


比起我写的拙作,网上有很多值得分析的宏病毒样本,希望本文对如何编写宏病毒不是很了解的人有所帮助.


干货 | 如何编写Word宏木马


推荐阅读:


干货 | 恶意代码分析之Office宏代码分析


Office如何快速进行宏免杀


利用DOCX文档远程模板注入执行宏


干货 | 如何编写Word宏木马


点赞,转发,在看


原创投稿作者:Buffer

干货 | 如何编写Word宏木马

本文始发于微信公众号(HACK学习呀):干货 | 如何编写Word宏木马

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: