大家好,今天我将展示一种混淆 vba 宏的方法,以制作可逃避 Microsoft Defender 的钓鱼办公文件。
我将使用安装了 python 和 office 的 Windows VM 来创建文档,并使用我的 Kali VM 来创建和托管将要下载和执行的反向 shell。
我将使用 vba-macro-obfuscator 来制作将添加到我们的文档的 vba 宏。
https://github.com/BaptisteVeyssiere/vba-macro-obfuscator
该存储库包含宏的示例,例如这个宏将下载 powershell 脚本并将其加载到内存中。
注意:我建议坚持使用存储库中提供的示例,因为尝试使用其他 vba 脚本在混淆时可能无法正常工作,如果您想混淆更自定义的 vba 脚本,您可能需要修改 python 脚本以适应它。
我将对其进行一些修改,以便它从我的 Kali VM 中获取一个名为 rev.ps1 的 powershell 脚本。
现在让我们运行 python 脚本,它将把混淆的 vba 保存到文件名 finalpayload.vba 中
现在让我们制作一个办公文档并将其保存为 .doc 文件
现在让我们制作宏,单击“宏”,然后在新窗口的“宏在:”中选择我们的文档文件。
现在让我们将 AutoOpen 放入宏名称中并单击创建。
这将打开宏编辑器。
现在让我们删除所有文本,然后复制并粘贴我们的混淆的 vba。
现在保存宏并保存文档并关闭 Word。
现在我们可以这个让我们的宏逃避防御者,但如果我们的 powershell 脚本在执行时被检测到,它将无法完全发挥作用。
为了解决这个问题,我将使用 Get-ReverseShell.ps1 来创建一个混淆的反向 shell-https://github.com/gh0x0st/Get-ReverseShell/tree/main
我的 kali VM 上有脚本,我将启动 pwsh,然后导入脚本,然后使用命令 get-reverseshell 并输入我的 IP 地址和端口来生成混淆的反向 shell。
现在我将混淆的脚本复制并粘贴到名为 rev.ps1 的文件中,然后启动 python http 服务器。
现在我将为我的反向shell设置一个netcat监听器。
在尝试打开我们的恶意文档之前,我将确保实时保护已打开,并且我已关闭自动样本提交以确保它不会将我们的有效载荷发送给 Microsoft。
一切准备就绪后,我们单击文档将其打开。
然后点击启用内容。
这样我们就得到了反向 shell!
尽管知道 Office Macros 尚未完全消失是件好事,但其他 AV 供应商和 EDR 仍有可能发现该漏洞。除非我们确定目标只使用默认的 Windows Defender,否则它不应该是我们进行网络钓鱼的首选。如果一段时间后开始检测到该漏洞,也不要感到惊讶。
感谢您抽出
.
.
来阅读本文
点它,分享点赞在看都在这里
