浅谈钓鱼攻防之道-制作免杀word文件钓鱼

news2025/1/13 10:28:58

梦里明明有六趣，觉后空空无大千

1、制作基本的word宏文件

Cobalt Strike生成宏代码

在这里插入图片描述

选择监听器

在这里插入图片描述

成功生成宏文件

在这里插入图片描述

新建word文档，点击视图——宏——查看宏

在这里插入图片描述

选择编辑

在这里插入图片描述

点击视图中的工程资源管理器

在这里插入图片描述

选择本文件中ThisDocument，将cs生成的文件复制到里面，选择Auto_Open不会提醒自动打开

在这里插入图片描述

打开文件后cs上线

在这里插入图片描述

2、宏免杀（EvilClippy的使用）

1.1为什么钓鱼附件进不了收件箱

随着类似msf，Cobalt Strike等工具的出现，钓鱼邮件的制作成本大大降低了。但随之而来的问题也出现了，因为工具一般是写死的，无法定制化恶意执行代码，导致恶意代码的特征值很容易被抓取，会被发件服务器，收件邮件网关，本地杀毒等一系列防护设备或措施拦截。所以为了邮件能进收件箱，要搞清楚我们的钓鱼邮件在哪一个步骤挂掉了。一般常见的邮件流程如下：

邮件→邮件服务器→防毒→防垃圾→收件箱

1.2如何进行免杀

要搞清楚我们的附件在什么环节被杀了，首先科普一下当下杀软的三种查杀方式：1.静态查杀 2.云查杀 3.行为查杀。邮件服务器为了可用性和隐私性一般只有静态查杀。所以我们只需要规避特征值绕过静态查杀就可以让钓鱼附件进入收件箱了。如何规避静态查杀？最好的办法当然是自己写恶意代码，但大部分云黑客都是脚本小子，这也没关系，现在github上也有很多免杀开源的脚本。这里以EvilClippy作为演示

编译成exe文件

1.3EvilClippy的使用

下载EvilClippy脚本，并运行，这里我们用-s参数

在这里插入图片描述

-s参数是通过假的vba代码插入到模块中，用以混淆杀毒程序，这里我们需要写一个正常无毒的vba脚本

在这里插入图片描述

运行EvilClippy，会生成rdyx0_EvilClippy.doc文档

在这里插入图片描述

静态过360和火绒免杀

在这里插入图片描述

动态过360和火绒免杀

在这里插入图片描述

3、远程模板注入宏代码

打开word文档新建样本模板

在这里插入图片描述

选择黑领结简历，创建模板

在这里插入图片描述

内容如下

在这里插入图片描述

保存成rdyx0.docx文件

点击视图——宏——查看宏

在这里插入图片描述

创建宏

在这里插入图片描述

选择本文件中ThisDocument，将cs生成的文件复制到里面

在这里插入图片描述

保存文档，打开文档

在这里插入图片描述

测试可正常上线

在这里插入图片描述

运行EvilClippy，进行免杀生成rdyx0文档

在这里插入图片描述

可过360和火绒静态查杀

在这里插入图片描述

打开文档

在这里插入图片描述

可过360和火绒动态查杀

在这里插入图片描述

将后门宏文件rdyx0上传到公网服务器中

修改rdyx0.docx后缀为zip

在这里插入图片描述

将zip文件解压，进入/word/_rels目录下，打开settings.xml.rels宏文件，这段就是宏需要执行的代码！1

在这里插入图片描述

将该段代码修改为以下内容，意思就是执行开启宏后，会执行访问下载服务器上的宏文件并执行！

在这里插入图片描述

继续将文件修改zip为docx类型，修改后可看到就是rdyx0.docx

这里利用的是分离免杀的方法，里面的代码都是正常的，由于杀毒软件是静态查杀，所以无法查杀的！

在这里插入图片描述

打开文档

在这里插入图片描述

上线cs

在这里插入图片描述

4、word 中插入外部对象(OLE)方式欺骗

选择插入——对象

在这里插入图片描述

选择由文件创建，输入木马地址，更改图标，修改题注为执行程序

在这里插入图片描述

双击并点击运行生成的文件

在这里插入图片描述

cs上线

在这里插入图片描述

5、嵌入超链接

使用cs文件下载的功能或者其他方式

在这里插入图片描述

选择木马文件

在这里插入图片描述

构造成功

在这里插入图片描述

嵌入文档

在这里插入图片描述

操作后就会下载木马文件

在这里插入图片描述

文笔生疏，措辞浅薄，望各位大佬不吝赐教，万分感谢。

免责声明：由于传播或利用此文所提供的信息、技术或方法而造成的任何直接或间接的后果及损失，均由使用者本人负责，文章作者不为此承担任何责任。

CSDN: 
https://rdyx0.blog.csdn.net/

公众号：儒道易行
https://mp.weixin.qq.com/mp/appmsgalbum?__biz=Mzg5NTU2NjA1Mw==&action=getalbum&album_id=1696286248027357190&scene=173&from_msgid=2247485408&from_itemidx=1&count=3&nolastread=1#wechat_redirect

博客:
https://rdyx0.github.io/

先知社区：
https://xz.aliyun.com/u/37846

SecIN:
https://www.sec-in.com/author/3097

FreeBuf：
https://www.freebuf.com/author/%E5%9B%BD%E6%9C%8D%E6%9C%80%E5%BC%BA%E6%B8%97%E9%80%8F%E6%8E%8C%E6%8E%A7%E8%80%85

本文来自互联网用户投稿，该文观点仅代表作者本人，不代表本站立场。本站仅提供信息存储空间服务，不拥有所有权，不承担相关法律责任。如若转载，请注明出处：http://www.coloradmin.cn/o/2208790.html

如若内容造成侵权/违法违规/事实不符，请联系多彩编程网进行投诉反馈，一经查实，立即删除！