- 1Windows下修复SSL/TLS协议信息泄露漏洞(CVE-2016-2183)_cve-2016-2183漏洞修复windows
- 2Django(17):Cookie 和 Session_django会存cookies吗
- 3Hybrid A *算法原理及实现步骤_hybrid a*
- 4前端常用的设计模式_前端设计模式
- 5计算机毕业设计Java游泳馆管理平台(系统+程序+mysql数据库+Lw文档)_大学游泳馆使用数据分析平台
- 6Python爬取中文内容时乱码怎么办_为什么正则表达式爬取的数据是乱码
- 7Android 复制 粘贴 剪贴板的使用 ClipboardManager
- 8实现字符串复制(C语言)
- 9【arduino】超声波垃圾桶_arduino垃圾桶程序
- 10Java基础知识点总结_java知识点归纳大全
office钓鱼免杀宏的制作_excel 宏免杀
赞
踩
office钓鱼免杀宏的制作
由于国内近些年来,红蓝对抗的升级,各类hvv,重保,防守方上各种杀软,edr,防御手段层出不穷,不会免杀真的是欲哭无泪,今天带来EvilClippy 恶意文档助手,对office宏进行免杀处理,红队小菜鸡,还望大佬带飞。
通过cobalt strike生成宏payload
1.通过cs生成office宏木马
2.点击 copy macro 复制生成的宏代码
3.新建一个文档,点击 “开发工具 — Visual Basic”
4.双击 “ThisDocument” ,将原有内容全部清空,然后将 CobaltStrike 生成宏 payload 粘贴进来
5.全部粘贴进去,保存并关闭该 VBA 编辑器
6.保存为2.doc,保存的时候记得关闭杀软,特征明显容易被杀软查杀
7.创建一个无毒的vba脚本,保存为vba格式
8.保存为2.vba
9.通过EvilClippy创建恶意MS Office文档,进行免杀混淆,EvilClippy功能有以下几点
一、 在GUI编辑器中隐藏VBA宏;
二、 混淆安全分析工具;
三、 VBA Stomping;
四、 引入VBA P-Code伪编码;
五、 设置远程VBA项目锁定保护机制;
六、 通过HTTP提供VBA Stomped模板;
10.EvilClippy工具使用如下图所示
11.使用P-code进行编码混淆
12.重命名后进行火绒查杀,能够成功绕过火绒进行上线
13.virustotal检出率有5/60,国内主流的杀软检测通过
14.微步检测只有两个引擎可以检出,也是显示安全
15.腾讯哈勃检测显示为安全
16.CobaltStrike 生成默认的 VBA 会导入四个 Windows API 函数,常见的 ShellCode 加载器 代码:
CreateRemoteThread 创建一个在其它进程地址空间中运行的线程(也称:创建远程线程).
VirtualAllocEx 指定进程的虚拟空间保留或提交内存区域
WriteProcessMemory 写入某一进程的内存区域
CreateProcess 创建一个新的进程和它的主线程,这个新进程运行指定的可执行文件
17.其中 Array(-4,-24,-119,0,0,0,96,-119,-27…就是 ShellCode,ShellCode 可以自己在 VBA 里解码或者比如每个元素自增 或自减,运行的时候把自增自减重新运算回去,达到免杀
