Excel老式技术

Excel老式技术

VBS宏脚本嵌入明文代码

本次提交有12个引擎报毒，报毒类型较为集中，主要为VBA.Heur2.Amphitryon.359.Gen。现将该文件另存为.xlsm格式（启用宏的工作簿），再次提交：

本次提交较上次报毒总量减一，或许是.xlsm默认启用宏，提升了宏的合法性。

注释（备注）部分插入明文代码，并使用宏执行

使用以下宏执行嵌入在“备注”属性中的有效负载：

注意：为了使Workbook_Open()函数自动执行宏，该文档的版本应该为Office 97-2003兼容性（.xls）。提交检测：

本次提交有63个引擎能够识别，较之前减一，报毒总数也减少，伪装有一定效果（？）。直接点开该文件确实会启动.dll文件，但是报毒数出人意料，这与参考博文提供的检测结果不同（15/60）。按照常理，这样的处理方式应当更容易被检测。

通过自定义公式执行明文代码

创建合适公式：

提交检测：

包括卡巴斯基在内的四个引擎报毒。

在VBS宏脚本中编码PowerShell命令行

默认情况下，将PowerShell引入宏，文档立刻被识别为恶意文件。利用宏执行PowerShell通常备受关注。若Windows Defender保持活性，则会在此类文档被创建后立马删除。

注释部分编码PowerShell命令行，并使用宏执行

与上一项相同，采用命令行，但是对PowerShell使用Base64编码：

提交VT检测：

使用明文与Base64的区别不大。要实际使用这种方法，应当避免过度编码命令。

通过自定义公式执行PowerShell命令行

在公式中插入经过Base64编码的PowerShell命令行：

很明显涉及PowerShell的恶意尝试都被给予了充分关注。仅就明文代码而言，相同方法中使用了PowerShell的文件会面临更多引擎报毒。