基于Cobalt Strike的office宏利用

基于Cobalt Strike的office宏利用

1.概述

宏是微软公司为其OFFICE软件包设计的一个特殊功能,软件设计者为了让人们在使用软件进行工作时,避免一再地重复相同的动作而设计出来的一种工具,它利用简单的语法,把常用的动作写成宏,当在工作时,就可以直接利用事先编好的宏自动运行,去完成某项特定的任务,而不必再重复相同的动作,目的是让用户文档中的一些任务自动化。以上内容来自百度百科,简单来讲,office无论是Word还是Excel,其功能都是固定不变的,而为了实现更多的功能,或者为了提高用户效率,可写入一些代码来实现。而这些代码是vba语言。既然可以写入代码,那么从渗透的角度来讲就可以做很多事情了。比如鱼叉攻击。

2.过程

  1. 首先利用CS生成宏的payload(attacks->packages->ms office macro)

  1. 添加一个监听

  1. 复制payload

  1. 创建新的宏并将payload粘贴到宏里

  1. 最后将生成带word/Excel文档通过各种方式发给受害者。这里可以看到,一旦受害者打开文档,主机就已经上线了。

3.总结

宏的利用是非常老的手法了,随着office的不断更迭,也有对宏的恶意代码的传播进行了很多传播。如下图所示,最新的office中的宏是默认关闭的。只有在宏启用后,方可使用这个方法才会生效。

并且通过下图也可以看到,及时是word文档,360等杀软也会非常轻易的检测出来。如果要利用宏来进行成功钓鱼,那就得满足两个条件:一是受害者使用低版本office或诱使开启宏,二是进行免杀。