利用DOCX文档远程模板注入执行宏


本文翻译自:http://blog.redxorblue.com/2018/07/executing-macros-from-docx-with-remote.html


导读:

在这篇文章中,我想谈谈并展示下不久前向我看到的代码执行的方法。此方法允许用户创建一个将被加载的DOCX文档,并使用远程DOTM模板文件去执行宏。正如Cisco Talos的博客所述,这种攻击很常见,在开源攻击性安全工具中也有一些。但在博客文章和开源工具中,它通常只被看作通过SMB协议窃取凭证的攻击。此博客文章将详细介绍如何通过识别HTTP(s)代理将启用宏的模板下载到DOCX文档中的方法。

原理:

与传统的宏启用文档相比,这种攻击的好处是多方面的。在对目标执行网络钓鱼攻击时,您可以将.docx的文档直接附加到电子邮件中,并且您不太可能根据文件的拓展名去阻止它。许多组织机构阻止以.doc或.docm为拓展名的文档却允许.docx文档,是因为它们不会包含宏。

这种攻击更常见另一个原因可能是因为附件本身不包含恶意代码,任何静态电子邮件扫描程序都不会看到宏本身,因此不太可能被阻止。如果您的目标使用沙箱打开电子邮件附件,您可以使用各种沙箱规避技术,例如modrewrite规则或IP限制,以防止沙箱破坏恶意模板。@bluescreenofjeff在他的Red Team Infrastructure Wiki中,就有创建modrewrite规则的精彩指南。

方法:

想要开始此攻击,我们需要创建两个不同的文件。第一个是启用宏的模板,或是.dotm文件,它将包含恶意VBA宏。第二个是看似没有危害的.docx文件,它本身不包含恶意代码,只有指向恶意模板文件的目标链接。

开始:

在我向其他人提供的博客文章和培训中,使用免费的开源工具来展示例子。我之所以这样做,是因为我希望任何阅读此博客的人都可以自己尝试(主要针对他们自己的或是他们有权使用的系统去尝试)并且不想强迫人们购买商业工具。出于这个原因,我将介绍创建远程模板文档以执行PowerShell Empire Payload(攻击负载)的步骤。为了达到这篇文章的目的,我不会详细说明如何在这里为Empire创建监听器或宏,而至于如何做到这一点有很多教程。下面,我将逐步创建文档来执行宏。

创建启用宏的模板:

点击收藏 | 2 关注 | 2
登录 后跟帖