CobaltStrike 生成office宏病毒进行钓鱼攻击

关于WORD宏：

在百度百科上有:

宏是一个批量处理程序命令，正确地运用它可以提高工作效率。微软的office软件允许用户自己编写，叫VBA的脚本来增加其灵活性，进一步扩充它的能力。如完打开word文件同时要打开某个文件的功能，必须要自己编写一段称之为宏的脚本。具体做法是在“工具”菜单“宏”－“宏”弹出的对话框输入宏名，然后按“创建”按钮会打开visual basic编辑器，你就可以编程了，这个就是宏。学会它会有很多乐趣的。玩过街机模拟器的人肯定有体会，在格斗游戏中，用模拟器来录制宏，以实现一键放绝招。

简单来说WORD宏可以让用户编写VBA脚本来灵活操作WORD，是Office软件设计者为了让人们使用软件进行工作时，避免一再重复相同的动作，而设计出来的一种工具。

宏病毒使用常见场景:

个人常遇到的场景为：

编写存在WORD宏病毒的WORD文件 -> 利用社会工程学投递WORD并令对方打开点击启用宏 -> 目标上线

关于此处的社会工程学，抛砖引玉，如在WORD中放置一张模糊的图片，需要启用宏才能查看详细内容，或者：

存在以上内容，说明该文件是被保护的文档，只有点击“Enable Editing” （允许编辑） 和”enable content” （启用内容）后才能显示真正的内容。

而点击启用内容后，也是启用了宏，运行宏命令从而导致自己电脑被感染

另外还可以结合一些时事来进行定向钓鱼攻击，比如结合新冠疫情，健康信息等内容的二次交互，导致目标启用宏感染。

使用Cobalt Strike生成木马:

首先创建一个监听器监听8080端口

点击attacks -> packages -> MS Office Macro

选择之前创建的监听器;

点击Generate

这里告诉了我们CS生成的宏病毒的使用方法，复制生成的宏代码

创建一个WORD，视图-查看宏：

宏名是随便输一个就行，然后点创建

添加代码是在project中，如图：

接着保存代码，就跳出来这个

我们需要另存为启用宏的Word

另存为后，一个Word宏病毒文件就做好了。

打开虚拟机尝试上线：

成功上线

可以查看任务管理器：

发现该恶意进程 :D，关于宏病毒免杀操作下次再写篇博客，以上

参考文章：

• https://www.secpulse.com/archives/138916.html

• https://payloads.online/archivers/2019-05-16/1

• https://baike.baidu.com/item/word%E5%AE%8F

• https://www.freebuf.com/articles/system/103309.html

• https://www.cnblogs.com/-qing-/p/10933752.html