钓鱼攻击-植入宏的Office Publisher文档

admin 2024年11月11日23:02:44评论7 views字数 1044阅读3分28秒阅读模式

      Microsoft Office Publisher是一款桌面出版软件,用于设计和创建各种印刷品和数字出版物。它是Microsoft Office套件中的一部分,可以在Windows操作系统上运行。Microsoft OfficePublisher还支持导入和导出其他Microsoft Office应用程序的文件,如WordExcelPowerPoint

  众所周知,通过向office文档中植入恶意宏进行钓鱼攻击是比较常见的方式,攻击者通常会在word文档中或excel文档、PowerPoint文档中植入宏代码。但或许很多人不知道的是,Microsoft Office Publisher文档也能够植入宏代码

  最近考古APT分析报告的时候,发现之前有APT组织曾利用这种文档来进行钓鱼。下面主要讲一下如何利用,其实跟word、excel都差不多,今天的文章多少有些划水的成分在(bushi)..

  创建一个pub文件,使用office打开,在文件-选项中,开发工具勾选出来。

钓鱼攻击-植入宏的Office Publisher文档

  点击宏,先随便取个名,创建:

钓鱼攻击-植入宏的Office Publisher文档

 钓鱼攻击-植入宏的Office Publisher文档

  在MicrosoftPublisher对象下面的ThisDocument下面插入宏代码。这里插入了一段远程请求一个hta脚本,通过shell执行mshta.exe来远程加载执行一个hta脚本。

钓鱼攻击-植入宏的Office Publisher文档

  宏代码简单示例(可以自行实现更复杂的功能,例如执行shellcode):

钓鱼攻击-植入宏的Office Publisher文档

  为了在打开Microsoft Office Publisher文档时自动执行宏,可以将宏代码放置在文档的文档打开事件过程中。

        Private Sub Document_Open() 是文档对象的事件过程,当文档被打开时会自动执行其中的代码。

  保存文件后,打开文件,发现弹出了宏的警告:

钓鱼攻击-植入宏的Office Publisher文档

        office文档对宏安全性的默认设置是禁用所有宏并发出通知,打开带有宏的文档时会弹出警告,如果受害者安全意识不足点了启用,就导致宏代码的执行。如果设置的是启用所有宏,则打开文档时不会出现警告,自动执行宏代码。

钓鱼攻击-植入宏的Office Publisher文档

  点击启用宏,远程脚本被执行,弹出计算器:

钓鱼攻击-植入宏的Office Publisher文档

这种利用方式是比较容易检测的,只需检测MSPUB.EXE进程调用敏感系统进程即可;后面可能会写一些如何在宏中进行父进程和命令行欺骗,来规避一些检测等相关的文章。

注:本文内容仅用于交流学习,不可用于网络攻击等非法行为,否则造成的后果均与本文作者无关,维护网络安全人人有责~

原文始发于微信公众号(红蓝攻防研究实验室):钓鱼攻击-植入宏的Office Publisher文档

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年11月11日23:02:44
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   钓鱼攻击-植入宏的Office Publisher文档https://cn-sec.com/archives/1942832.html

发表评论

匿名网友 填写信息