社会工程学 | office宏分离免杀及应急处置
2023-2-14 15:20:19 Author: www.secpulse.com(查看原文) 阅读量:51 收藏

声明:本人坚决反对利用文章内容进行恶意攻击行为,一切错误行为必将受到惩罚,绿色网络需要靠我们共同维护,推荐大家在了解技术原理的前提下,更好的维护个人信息安全、企业安全、国家安全。

Office宏分离免杀的方式是在目标用户的office开启宏功能的前提下,诱骗其使用office办公软件打开文档,通过加载远程的恶意宏代码,达到控制目标主机权限的目的。

1Office宏木马

1、在桌面基础创建文档名称:beta.docx

2、进入word文档后,开启开发者工具

3、打开Cobaltstrike后渗透工具,选择Attacks->Package->MS Office Macro

4、选择生成的Payload,这里选择使用Beacon http,会连到主机的IP地址是192.168.146.128

5、 点击复制宏代码

6、将代码复制到word文档中开发工具->Visual Basic的代码窗口中。右上角选择Auto_Open,当使用者在打开word文档时,簿会自动运行宏提示信息。

7、Ctrl+S保存后,会提示,点击否,选择保存类型:beta.dotm

8、鼠标右键单击beta.dotm文件,选择打开,(此处注意不能双击打开,双击是无法打开模版文件的,在模版文件上双击默认是以此模版创建新文件),然后可以看到能正常反弹shell。接下来就可以做免杀处理了。

9、将后门宏文件beta.dotm上传到公网服务器中,开启apache服务即可

10、创建一个简历模板,更改后缀位压缩文件的格式为.zip,并进行减压。

11、将zip文件解压,进入/word/_rels目录下,打开settings.xml.rels宏文件,将该段代码修改为以下内容,意思就是执行开启宏后,会执行访问下载服务器上的dotm宏文件并执行!!

12、然后将内容重新压缩后,在修改zip为docx类型,修改后就可以打开简历了。

2
应急处置

(1)查询异常的网络连接情况

netstat -ano | findstr "192.168.146.*"

(2)根据PID找到可执行文件名称

tasklist | findstr 16584

(3)查找16584的命令行

wmic process where processid=16584 get commandline /format:csv

(4)查询该PID的父进程对应的PID号

wmic process where processid=16584 get parentprocessid /format:csv

(5) 查找父PID7524的命令行

-END-

▎经典文章精选

社会工程学 | Yandex mail捆绑域名方法
社会工程学 | gophish批量发送邮件配置

本文作者:PIG-Z

本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/195847.html


文章来源: https://www.secpulse.com/archives/195847.html
如有侵权请联系:admin#unsafe.sh