初探伪装在Office宏里的反弹Shell

平日的钓鱼邮件场景中office的安然问题不停都受到关注,恶意宏文档制作简单,兼容性强,并且进击资源较小,以是整体占对照大年夜。然则应用恶意宏进行进击,每每必要用户进行交互,进击的隐蔽性不强,结合Powershell的进击要领二者结合照样可以搞一点大年夜工作的。

前段光阴在打仗到一些基于鱼叉邮件进击的案例时针对里面的银行木马与进击要领进行了简单的阐发,对powershell与office的宏奇妙结合的要领孕育发生了一些兴趣。

0×1 主要思路

宏病毒是一种寄存在文档或模板的宏中的谋略机病毒。一旦打开这样的文档,此中的宏就会被履行,于是宏病毒就会被激活,转移到谋略机上,并驻留在Normal模板上。

我们经由过程对象天生一个有powershelldownloader功能的一个excel,victim办事器打开此excel之后会从CC办事器下载并履行一个基于powershell的payload到本地的谋略机后就可以经由过程CC办事器傍边的Metasploit操控Victim办事器。

0×2 进击措施

首先在kali下面天生一个powershell的后门,设置好相关的参数。

本地开启http的办事器,kali2集成好了apache的办事,将天生好的后门改名为payload.txt后门复制到网站的根目录。

经由过程浏览器造访,确认可以造访成功。

之后本地设置好Metasploit的参数,开始监听,这里的payload主要reverse_https可以避开一些基于流量检测的安然设备。

在github下载一个powershell对象用于天生excel后门,这里应用了Generate-Macro一个评价很不错的小对象。

连接如下:https://github.com/enigma0x3/Generate-Macro

本地天生excel的后门excel文档设置好相关的参数选项,对照温馨的是会自动的将宏与文档打包到一路,今朝只支持http协讲和https协议,在选择后门的自启动要领这里照样有很多选择,设置计划义务也是很多后门常用的手段之一。

victim端打开此文档后启用宏之后,会履行相关的宏代码连接到Metasploit的客户端,应用shell敕令可以可以得到一个敕令行对应的windows系统此时应该会拉起一个cmd.exe

0×3 进程拉起顺序

在victim端口查看相关进程可以发明依次的启动顺序为:svchost.exe-> WmiPrvSE.exe-> powershell.exe ->powershell.exe ->cmd.exe

待用户履行了宏代码之后,会调用windows系统的傍边的wmi拉起powershell进行下载并连接远程CC端。

关键代码如下:

可以在第一个powershell.exe的启动参数找到痕迹

第一个powershell.exe之后拉起第二个powershell.exe履行保存在payload.txt里面的恶意代码,会设置自启动。

之后在履行了shell敕令履行,第二个powershell.exe会主动拉起一个cmd.exe 进行远程敕令履行。

0×4 其他行径

可以在注册表傍边找到已经设置好的自启动项目,主要内容保存在C盘C:\Users\Public\config.vbs目录下并设置暗藏属性。

天生开机启动的恶意文件代码如下:

[1] [2]下一页

添加到注册表的恶意代码如下:

经由过程抓包阐发获取到的流量数据基础都是是乱码,流量阐提议来有必然的艰苦。

0×5 总结

1.假如送达特定主题及内容的电子邮件来进行进击,安然意识懦弱的用户很轻易中招。进击者从远程获取恶意软件或者进击负载powershell脚本颠末肴杂之落后行base64编码,对付检测这些进击行径无论是静态扫描照样动态检测都造成了必然的难度。

2.office本身也有CVE2017-0262、CVE–2017–8759、CVE-2017-0199、CVE-2017-11882等多个安然问题,进击伎俩也有了较多的差异性,作为通俗用户在日常的事情生活傍边照样应该提升自身的安然意识,安装杀毒软件支持国产office,对付陌生的邮件必然要慎点。

上一页[1] [2]

赞(0) 打赏
分享到: 更多 (0)
免责申明:本站所有资料均来自于网络,版权归原创者所有!本站不提供任何保证,不保证真实性,并不承担任何法律责任

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址

阿里云优惠网 更专业 更优惠

阿里云优惠券阿里云大礼包