梦里明明有六趣,觉后空空无大千
1、制作基本的word宏文件
Cobalt Strike生成宏代码
选择监听器
成功生成宏文件
新建word文档,点击视图——宏——查看宏
选择编辑
点击视图中的工程资源管理器
选择本文件中ThisDocument,将cs生成的文件复制到里面,选择Auto_Open不会提醒自动打开
打开文件后cs上线
2、宏免杀(EvilClippy的使用)
1.1为什么钓鱼附件进不了收件箱
随着类似msf,Cobalt Strike等工具的出现,钓鱼邮件的制作成本大大降低了。但随之而来的问题也出现了,因为工具一般是写死的,无法定制化恶意执行代码,导致恶意代码的特征值很容易被抓取,会被发件服务器,收件邮件网关,本地杀毒等一系列防护设备或措施拦截。所以为了邮件能进收件箱,要搞清楚我们的钓鱼邮件在哪一个步骤挂掉了。一般常见的邮件流程如下:
邮件→邮件服务器→防毒→防垃圾→收件箱
1.2如何进行免杀
要搞清楚我们的附件在什么环节被杀了,首先科普一下当下杀软的三种查杀方式:1.静态查杀 2.云查杀 3.行为查杀。邮件服务器为了可用性和隐私性一般只有静态查杀。所以我们只需要规避特征值绕过静态查杀就可以让钓鱼附件进入收件箱了。如何规避静态查杀?最好的办法当然是自己写恶意代码,但大部分云黑客都是脚本小子,这也没关系,现在github上也有很多免杀开源的脚本。这里以EvilClippy作为演示
编译成exe文件
1.3EvilClippy的使用
下载EvilClippy脚本,并运行,这里我们用-s参数
-s参数是通过假的vba代码插入到模块中,用以混淆杀毒程序,这里我们需要写一个正常无毒的vba脚本
运行EvilClippy,会生成rdyx0_EvilClippy.doc文档
静态过360和火绒免杀
动态过360和火绒免杀
3、远程模板注入宏代码
打开word文档新建样本模板
选择黑领结简历,创建模板
内容如下
保存成rdyx0.docx文件
点击视图——宏——查看宏
创建宏
选择本文件中ThisDocument,将cs生成的文件复制到里面
保存文档,打开文档
测试可正常上线
运行EvilClippy,进行免杀生成rdyx0文档
可过360和火绒静态查杀
打开文档
可过360和火绒动态查杀
将后门宏文件rdyx0上传到公网服务器中
修改rdyx0.docx后缀为zip
将zip文件解压,进入/word/_rels目录下,打开settings.xml.rels宏文件,这段就是宏需要执行的代码!1
将该段代码修改为以下内容,意思就是执行开启宏后,会执行访问下载服务器上的宏文件并执行!
继续将文件修改zip为docx类型,修改后可看到就是rdyx0.docx
这里利用的是分离免杀的方法,里面的代码都是正常的,由于杀毒软件是静态查杀,所以无法查杀的!
打开文档
上线cs
4、word 中插入外部对象(OLE)方式欺骗
选择插入——对象
选择由文件创建,输入木马地址,更改图标,修改题注为执行程序
双击并点击运行生成的文件
cs上线
5、嵌入超链接
使用cs文件下载的功能或者其他方式
选择木马文件
构造成功
嵌入文档
操作后就会下载木马文件
文笔生疏,措辞浅薄,望各位大佬不吝赐教,万分感谢。
原文始发于微信公众号(儒道易行):浅谈钓鱼攻防之道-制作免杀word文件钓鱼
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论