Microsoft Office Publisher是一款桌面出版软件,用于设计和创建各种印刷品和数字出版物。它是Microsoft Office套件中的一部分,可以在Windows操作系统上运行。Microsoft OfficePublisher还支持导入和导出其他Microsoft Office应用程序的文件,如Word、Excel和PowerPoint。
众所周知,通过向office文档中植入恶意宏进行钓鱼攻击是比较常见的方式,攻击者通常会在word文档中或excel文档、PowerPoint文档中植入宏代码。但或许很多人不知道的是,Microsoft Office Publisher文档也能够植入宏代码。
最近考古APT分析报告的时候,发现之前有APT组织曾利用这种文档来进行钓鱼。下面主要讲一下如何利用,其实跟word、excel都差不多,今天的文章多少有些划水的成分在(bushi)..
创建一个pub文件,使用office打开,在文件-选项中,开发工具勾选出来。
点击宏,先随便取个名,创建:
在MicrosoftPublisher对象下面的ThisDocument下面插入宏代码。这里插入了一段远程请求一个hta脚本,通过shell执行mshta.exe来远程加载执行一个hta脚本。
宏代码简单示例(可以自行实现更复杂的功能,例如执行shellcode):
为了在打开Microsoft Office Publisher文档时自动执行宏,可以将宏代码放置在文档的“文档打开”事件过程中。
Private Sub Document_Open() 是文档对象的事件过程,当文档被打开时会自动执行其中的代码。
保存文件后,打开文件,发现弹出了宏的警告:
office文档对宏安全性的默认设置是禁用所有宏并发出通知,打开带有宏的文档时会弹出警告,如果受害者安全意识不足点了启用,就导致宏代码的执行。如果设置的是启用所有宏,则打开文档时不会出现警告,自动执行宏代码。
点击启用宏,远程脚本被执行,弹出计算器:
这种利用方式是比较容易检测的,只需检测MSPUB.EXE进程调用敏感系统进程即可;后面可能会写一些如何在宏中进行父进程和命令行欺骗,来规避一些检测等相关的文章。
注:本文内容仅用于交流学习,不可用于网络攻击等非法行为,否则造成的后果均与本文作者无关,维护网络安全人人有责~
原文始发于微信公众号(红蓝攻防研究实验室):钓鱼攻击-植入宏的Office Publisher文档
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论