了解office宏病毒、CobaltStrike创建宏和word创建宏方法
Office钓鱼介绍
office钓鱼
在无需交互、用户无感知的情况下,执行Office文档中内嵌的一段恶意代码,从远控地址中下载并运行恶意可执行程序。例如:远控木马或者勒索病毒等。
CobaltStrike钓鱼
CobaltStrikeoffice钓鱼主要方法是生成一段vba代码,然后将代码复制到office套件中,当用户启动office自动运行。
CobaltStrike操作
点击CobaltStrike主界面中attacks->packages->msofficemacro
弹出界面选择Listener,单击确定
对话框中给出每一步仔细操作,单击copymacro按钮
word操作
点击上方标签视图标签
在该标签中点击宏按钮,弹出的对话框中输入宏名字,然后单击创建按钮
首先清空所有代码,然后将复制的代码粘贴到编辑器中,关闭宏编辑窗口
保存退出
双击再次运行保存的文档
当目标机器运行文档以后,Cobaltstrike会接受到目标机器反弹的shell
目标进程会增加一个rundll32.exe进程
手痒也可以试试:
典例:CVE-2017-11882
版权声明:本文为Gjqhs原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接和本声明。