混淆 Office 宏以逃避 Defender

大家好，今天我将展示一种混淆 vba 宏的方法，以制作可逃避 Microsoft Defender 的钓鱼办公文件。

我将使用安装了 python 和 office 的 Windows VM 来创建文档，并使用我的 Kali VM 来创建和托管将要下载和执行的反向 shell。

我将使用 vba-macro-obfuscator 来制作将添加到我们的文档的 vba 宏。

https://github.com/BaptisteVeyssiere/vba-macro-obfuscator

该存储库包含宏的示例，例如这个宏将下载 powershell 脚本并将其加载到内存中。

注意：我建议坚持使用存储库中提供的示例，因为尝试使用其他 vba 脚本在混淆时可能无法正常工作，如果您想混淆更自定义的 vba 脚本，您可能需要修改 python 脚本以适应它。

我将对其进行一些修改，以便它从我的 Kali VM 中获取一个名为 rev.ps1 的 powershell 脚本。

现在让我们运行 python 脚本，它将把混淆的 vba 保存到文件名 finalpayload.vba 中

现在让我们制作一个办公文档并将其保存为 .doc 文件

现在让我们制作宏，单击“宏”，然后在新窗口的“宏在：”中选择我们的文档文件。

现在让我们将 AutoOpen 放入宏名称中并单击创建。

这将打开宏编辑器。

现在让我们删除所有文本，然后复制并粘贴我们的混淆的 vba。

现在保存宏并保存文档并关闭 Word。

现在我们可以这个让我们的宏逃避防御者，但如果我们的 powershell 脚本在执行时被检测到，它将无法完全发挥作用。

为了解决这个问题，我将使用 Get-ReverseShell.ps1 来创建一个混淆的反向 shell-https://github.com/gh0x0st/Get-ReverseShell/tree/main

我的 kali VM 上有脚本，我将启动 pwsh，然后导入脚本，然后使用命令 get-reverseshell 并输入我的 IP 地址和端口来生成混淆的反向 shell。

现在我将混淆的脚本复制并粘贴到名为 rev.ps1 的文件中，然后启动 python http 服务器。

现在我将为我的反向shell设置一个netcat监听器。

在尝试打开我们的恶意文档之前，我将确保实时保护已打开，并且我已关闭自动样本提交以确保它不会将我们的有效载荷发送给 Microsoft。

一切准备就绪后，我们单击文档将其打开。

然后点击启用内容。

这样我们就得到了反向 shell！

尽管知道 Office Macros 尚未完全消失是件好事，但其他 AV 供应商和 EDR 仍有可能发现该漏洞。除非我们确定目标只使用默认的 Windows Defender，否则它不应该是我们进行网络钓鱼的首选。如果一段时间后开始检测到该漏洞，也不要感到惊讶。