在红蓝对抗或者国家某活动中,钓鱼是红队比较常见的攻击手段。通常的钓鱼手段包括exe文件的投递,自解压文件的投递,office系文件的投递等等。这几种文件投递的方式都能直接向对方电脑投递木马文件,但是现在的防守客户普遍使用了强有力的查杀手段,特别是针对exe等文件的查杀,这对木马文件的免杀提出了新的挑战(当然,免杀大佬请当我这句话没说过)。Office作为目前最常见的办公软件套件使用,因为它的普遍使用性可以作为我们从外网到内网的一个突破口,但是目前我在GitHub找到现有的一些项目在面对国内使用的三大杀软显得应付有些吃力,所以才有了自己编写一个工具进行bypass的想法。
开搞
本次使用的是office套装的宏进行本地写vbs文件的做法进行上线。Vbs是Windows上的可执行文件,可以直接运行Windows的操作命令,但是vbs在渗透测试或者钓鱼中有个比较大的缺点,就是代码明文。受害者或者蓝队可以直接阅读VBS的代码,可以很容易直接找出cs会连地址(Emmm至少在我本次使用的这个脚本里是这样),所以我们必须对VBS脚本进行加密,加密的工具为微软官方给出的加密软件screnc.exe。这个工具已经写进打包好的工具里,程序运行时会在C盘根目录下自动释放,程序自动生成VBS代码,对VBS文件进行加密,程序运行完成后会被删除。
工具特点:
- 本次使用的是VBS调用powershell执行命令的方式进行上线,程序执行成功后会在系统内存运行,不产生exe等可执行文件后台进程,减少被查杀的风险;而且当excel程序被受害者关闭后,仍然可以正常上线,无需要excel进程一直后台启动。
- 受害者上线后,程序会自动删除相关的文件,减少在受害者电脑上留存文件,防止被逆向找到攻击者来源。
- 对原始VBA代码进行混淆,每次生成的VBA代码都是唯一的,MD5值都是不同的。防止被杀毒厂商记录MD5值和特征码。
- 投递到对方电脑的文件为不可读的二进制文件(VBE格式),在一定程度上减少被回溯的可能性
- 绕过国内主流杀软的检测,360安全卫士,360杀毒,火绒,腾讯管家
用法:
- 先在CS上开启监听
2 . 使用CS的 Attacks -- Web Drive-by -- Scritped Web Delivery(S)模块进行生成powershell攻击模块
3. 在CS Event Logs 复制powershell脚本链接,生成后弹出的powershell命令不用管
4. 从https://github.com/PDWR/3vilMacro/releases下载3vilMacro.exe文件。
文件的使用很简单,3vilMacro.exe [你刚刚复制的powershell脚本链接]。3秒钟后会在本路径下生成一个sourceVba.txt的文件。文件里面的内容就是加密后的VBA脚本
5. 把刚刚生成的VBA脚本内容全选复制粘贴到excel,开发工具—Visual Basic—ThisWorkBook里,保存,选择保存为xlsm格式的文件
http://mpvideo.qpic.cn/0b784uaaeaaaiiaowhvjfjqfbzodalsqaaqa.f10002.mp4?dis_k=d4e5ddbf88ec87033295f8e9ab954cb5&dis_t=1623294863&spec_id=MzU0MzkzOTYzOQ==1623294863&vid=wxv_1881663162286997506&format_id=10002&support_redirect=1&mmversion=false
6.可以在生成的xslm文件中随意添加内容(不影响上线效果,可以添加一些诱导语句或者带有诱惑的数据内容)。把生成的文件发送给受害者,一旦受害者点击上方的“启用内容”,正常3秒钟后,CS服务器上即可成功上线。即使受害者电脑安装有杀毒软件,一般也能进行绕过。
http://mpvideo.qpic.cn/0bf2xuaa2aaaeuabpankfnqfbpodbw6qadia.f10002.mp4?dis_k=9d6d8d5248f9d76c4951c48792d3b0d5&dis_t=1623294862&spec_id=MzU0MzkzOTYzOQ==1623294863&vid=wxv_1881873364563132422&format_id=10002&support_redirect=1&mmversion=false
项目地址:https://github.com/PDWR/3vilMacro
项目仅作为教育研究用途,请大家不要用于非法操作。如非法操作的导致的所有后果,与本项目作者无关。
最后,如果觉得这个项目有用或者对你有帮助,请给我点个Star!
大家在白嫖的同时希望能给个一键三连!!!
这种项目源码没法open出来,大家尝试逆吧!