office钓鱼免杀宏的制作

office钓鱼免杀宏的制作

由于国内近些年来，红蓝对抗的升级，各类hvv，重保，防守方上各种杀软，edr，防御手段层出不穷，不会免杀真的是欲哭无泪，今天带来EvilClippy 恶意文档助手，对office宏进行免杀处理，红队小菜鸡，还望大佬带飞。

通过cobalt strike生成宏payload

1.通过cs生成office宏木马

2.点击 copy macro 复制生成的宏代码

3.新建一个文档，点击 “开发工具 — Visual Basic”

4.双击 “ThisDocument” ，将原有内容全部清空，然后将 CobaltStrike 生成宏 payload 粘贴进来

5.全部粘贴进去，保存并关闭该 VBA 编辑器

6.保存为2.doc，保存的时候记得关闭杀软，特征明显容易被杀软查杀

7.创建一个无毒的vba脚本，保存为vba格式

8.保存为2.vba

9.通过EvilClippy创建恶意MS Office文档，进行免杀混淆，EvilClippy功能有以下几点
一、 在GUI编辑器中隐藏VBA宏；
二、 混淆安全分析工具；
三、 VBA Stomping；
四、 引入VBA P-Code伪编码；
五、 设置远程VBA项目锁定保护机制；
六、 通过HTTP提供VBA Stomped模板；
10.EvilClippy工具使用如下图所示

11.使用P-code进行编码混淆

12.重命名后进行火绒查杀，能够成功绕过火绒进行上线

13.virustotal检出率有5/60，国内主流的杀软检测通过
14.微步检测只有两个引擎可以检出，也是显示安全

15.腾讯哈勃检测显示为安全

16.CobaltStrike 生成默认的 VBA 会导入四个 Windows API 函数，常见的 ShellCode 加载器 代码：

CreateRemoteThread 创建一个在其它进程地址空间中运行的线程(也称:创建远程线程).
VirtualAllocEx 指定进程的虚拟空间保留或提交内存区域
WriteProcessMemory 写入某一进程的内存区域
CreateProcess 创建一个新的进程和它的主线程，这个新进程运行指定的可执行文件

17.其中 Array(-4,-24,-119,0,0,0,96,-119,-27…就是 ShellCode，ShellCode 可以自己在 VBA 里解码或者比如每个元素自增 或自减，运行的时候把自增自减重新运算回去，达到免杀