關於WORD宏:
在百度百科上有:
宏是一個批量處理程序命令,正確地運用它可以提高工作效率。微軟的office軟件允許用戶自己編寫,叫VBA的腳本來增加其靈活性,進一步擴充它的能力。如完打開word文件同時要打開某個文件的功能,必須要自己編寫一段稱之為宏的腳本。具體做法是在“工具”菜單“宏”-“宏”彈出的對話框輸入宏名,然后按“創建”按鈕會打開visual basic編輯器,你就可以編程了,這個就是宏。學會它會有很多樂趣的。玩過街機模擬器的人肯定有體會,在格斗游戲中,用模擬器來錄制宏,以實現一鍵放絕招。
簡單來說WORD宏可以讓用戶編寫VBA腳本來靈活操作WORD,是Office軟件設計者為了讓人們使用軟件進行工作時,避免一再重復相同的動作,而設計出來的一種工具。
宏病毒使用常見場景:
個人常遇到的場景為:
編寫存在WORD宏病毒的WORD文件 -> 利用社會工程學投遞WORD並令對方打開點擊啟用宏 -> 目標上線
關於此處的社會工程學,拋磚引玉,如在WORD中放置一張模糊的圖片,需要啟用宏才能查看詳細內容,或者:
存在以上內容,說明該文件是被保護的文檔,只有點擊“Enable Editing” (允許編輯) 和”enable content” (啟用內容)后才能顯示真正的內容。
而點擊啟用內容后,也是啟用了宏,運行宏命令從而導致自己電腦被感染
另外還可以結合一些時事來進行定向釣魚攻擊,比如結合新冠疫情,健康信息等內容的二次交互,導致目標啟用宏感染。
使用Cobalt Strike生成木馬:
首先創建一個監聽器監聽8080端口
點擊attacks -> packages -> MS Office Macro
選擇之前創建的監聽器;
點擊Generate
這里告訴了我們CS生成的宏病毒的使用方法,復制生成的宏代碼
創建一個WORD,視圖-查看宏:
宏名是隨便輸一個就行,然后點創建
添加代碼是在project中,如圖:
接着保存代碼,就跳出來這個
我們需要另存為啟用宏的Word
另存為后,一個Word宏病毒文件就做好了。
打開虛擬機嘗試上線:
成功上線
可以查看任務管理器:
