社会工程学 | office宏分离免杀及应急处置

Office宏分离免杀的方式是在目标用户的office开启宏功能的前提下,诱骗其使用office办公软件打开文档,通过加载远程的恶意宏代码,达到控制目标主机权限的目的。

1、Office宏木马

1、在桌面基础创建文档名称:beta.docx

社会工程学 | office宏分离免杀及应急处置_第1张图片

2、进入word文档后,开启开发者工具

社会工程学 | office宏分离免杀及应急处置_第2张图片

社会工程学 | office宏分离免杀及应急处置_第3张图片

3、打开Cobaltstrike后渗透工具,选择Attacks->Package->MS Office Macro

社会工程学 | office宏分离免杀及应急处置_第4张图片

4、选择生成的Payload,这里选择使用Beacon http,会连到主机的IP地址是192.168.146.128

社会工程学 | office宏分离免杀及应急处置_第5张图片

5、 点击复制宏代码

社会工程学 | office宏分离免杀及应急处置_第6张图片

6、将代码复制到word文档中开发工具->Visual Basic的代码窗口中。右上角选择Auto_Open,当使用者在打开word文档时,簿会自动运行宏提示信息。

社会工程学 | office宏分离免杀及应急处置_第7张图片

7、Ctrl+S保存后,会提示,点击否,选择保存类型:beta.dotm

社会工程学 | office宏分离免杀及应急处置_第8张图片

8、鼠标右键单击beta.dotm文件,选择打开,(此处注意不能双击打开,双击是无法打开模版文件的,在模版文件上双击默认是以此模版创建新文件),然后可以看到能正常反弹shell。接下来就可以做免杀处理了。

社会工程学 | office宏分离免杀及应急处置_第9张图片

9、将后门宏文件beta.dotm上传到公网服务器中,开启apache服务即可

社会工程学 | office宏分离免杀及应急处置_第10张图片

10、创建一个简历模板,更改后缀位压缩文件的格式为.zip,并进行减压。

社会工程学 | office宏分离免杀及应急处置_第11张图片

社会工程学 | office宏分离免杀及应急处置_第12张图片

11、将zip文件解压,进入/word/_rels目录下,打开settings.xml.rels宏文件,将该段代码修改为以下内容,意思就是执行开启宏后,会执行访问下载服务器上的dotm宏文件并执行!!

社会工程学 | office宏分离免杀及应急处置_第13张图片

社会工程学 | office宏分离免杀及应急处置_第14张图片

12、然后将内容重新压缩后,在修改zip为docx类型,修改后就可以打开简历了。

社会工程学 | office宏分离免杀及应急处置_第15张图片

2、应急处置

(1)查询异常的网络连接情况

netstat -ano | findstr "192.168.146.*"

社会工程学 | office宏分离免杀及应急处置_第16张图片

(2)根据PID找到可执行文件名称

tasklist | findstr 16584

9b9ee69abdb6ad6b2031ed9a49bc875b.png

(3)查找16584的命令行

wmic process where processid=16584 get commandline /format:csv

e5a5aa689fdbe8da388c494b03220f1d.png

(4)查询该PID的父进程对应的PID号

wmic process where processid=16584 get parentprocessid /format:csv

1a8be95336c3f9b580add275bbcb94a9.png

(5) 查找父PID7524的命令行

624c293b723bbd7d3760540eb3f0d78b.png

-END-

你可能感兴趣的:(社会工程学,word)