Office钓鱼攻击
1、简介
Office宏,译自英文单词Macro。宏是Office自带的一种高级脚本特性,通过VBA代码,可以在Office中去完成某项特定的任务,而不必再重复相同的动作,目的是让用户文档中的一些任务自动化。而宏病毒是一种寄存在文档或模板的宏中的计算机病毒。一旦打开这样的文档,其中宏就会被执行,于是宏病毒就会被激活,转移到计算机上,并驻留在Normal模板上。
Visual Basic for Applications(VBS)是Visual Basic的一种宏语言,是微软开发出来再其桌面应用程序中执行通用的自动化(OLE)任务的编程语言。主要能用来扩展Windows的应用程序功能,特别是Microsoft Office软件,也可说是一种应用程式视觉化的Basic脚本。
2、环境
Linux:Cobalt Strike4.0服务器
Windows:Cobalt Strike4.0客户端
Windows 10:测试机
工具:
Word版本 2016
Cobalt Strike4.0
链接:https://pan.baidu.com/s/13gdQcWWHE0zVK6r8VEzQRQ
提取码:9ct0
3、步骤
(1) 首先开启Cobalt Strike服务端
./teamserver 10.10.10.213 123.com
(2) 开启Cobalt Strike客户端
(3) 创建监听器:Cobalt Strike -> 监听器 -> Save
(4) 创建Office宏:攻击 -> 生成后门 -> MS Office Macro
(5) 在Win10上新建Word,重命名为公司文件右键打开,点击左上角文件 -> 选项 -> 自定义功能区 -> 所有选项卡 -> 开发工具(勾选)
(6) 点击菜单中的开发工具 -> 宏 -> 宏名 -> 宏的位置 -> 创建
(7) 把CS生成代码复制过来,选择Auto_Open自动打开,最后Ctrl + S保存
(8) 点"否"之后就会另存为,选择.dotm的后缀,保存类型*.dotm
(9) 右键打开,启动内容
(10) 成功上线,进入beacon成功执行命令
4、防御
保持软件更新:及时安装办公软件及操作系统的安全补丁和更新,以修复已知的安全漏洞。
开启宏安全设置:在办公软件中,将宏的安全级别设置得较高,以阻止自动执行宏操作。
谨慎开启宏:在收到来自不可信来源的文档或文件时,不要随意启用其中的宏功能。
使用安全软件:安装并及时更新防病毒和安全软件,可以防止宏病毒的感染和传播