Office宏钓鱼

突发奇想,如果我把带有宏病毒的文档发在群里,会是怎么样?

一、制作宏病毒

实验环境:CS4.2、office365

  1. 先使用CS生成payload

2. 选择加载器

3. 复制宏代码

4. 新建word空白文档

5. 视图-查看宏

6. 新建一个宏

7. 粘贴代码至宏中,切记位置不要粘贴错了,这里踩坑了很久

8. 保存文档,选择带宏的

9. 修改文件后缀为doc

二、免杀方式

方式一:https://github.com/outflanknl/EvilClippy/

现在需要自己编译,开发者已取消编译版发布

软件需要编译运行,由于本人使用的是Linux环境进行免杀,

所以命令如下:

首先需要有mono环境:

sudo apt-key adv –keyserver keyserver.ubuntu.com –recv-keys FA7E0328081BFF6A14DA29AA6A19B38D3D831EF

echo “deb http://download.mono-project.com/repo/debian wheezy main” | sudo tee /etc/apt/sources.list.d/mono-xamarin.list

sudo apt-get update

sudo apt-get install mono-completesudo 

apt-get install monodevelop然后使用mono,进行编译:mcs /reference:OpenMcdf.dll,System.IO.Compression.FileSystem.dll /out:EvilClippy.exe *.cs

我使用的Debian已将安装好了mono环境,直接编译就好

新建一个vba文件

将新建的vba文件与word文档进行混

将文档再次进行模块混淆

方式二:….

三、钓鱼

伪装成课程大作业文件发送至QQ群,坐等上线

发现同学们学习积极性并不高呀

留下评论