在Office 文档的属性中隐藏攻击载荷

Microsoft Office中的文档属性通常包含与文档和各种其他元数据详细信息相关的信息。但是,此位置可用于存储并执行SMB或HTTP服务器上托管的有效载荷的命令。这将在鱼叉式网络钓鱼或红队评估期间为攻击者提供一些网络的初始访问权限。

Metasploit SMB交付模块可用于通过SMB服务器以DLL文件和PowerShell的形式提供有效载荷。

exploit/windows/smb/smb_delivery

该模块可以通过以下参数轻松配置:

Metasploit SMB传输有效载荷配置

将生成需要在目标上执行的命令,服务器将开始等待连接传入。

Metasploit SMB传输载荷

由于有效载荷是一个DLL文件,Rundll32实用程序需要执行这个DLL文件。上面的命令需要添加到Word文档的注释部分。

Word文档属性 – 有效载荷

该文档必须包含一个宏,执行后将触发在注释区域添加的命令。

Sub pentestlab()Dim p As DocumentPropertyFor Each p In ActiveDocument.BuiltInDocumentPropertiesIf p.Name = "Comments" ThenShell (p.Value)End IfNextEnd Sub

文档属性 – Word宏

当用户打开启用宏的Word文档并运行它时,会打开一个Meterpreter会话。

Metasploit SMB交付模块——Meterpreter会话

可以通过执行以下命令与会话的开始交互:

sessionssessions -i 1

Metasploit SMB交付模块的会话

Metasploit SMB交付的 Meterpreter Shell

有一种替代方案是可以通过PowerShell来实现相同的目的。

SMB交付模块生成PowerShell攻击载荷

该模块将生成一个代理感知的PowerShell命令,它将从UNC路径运行有效载荷。

Metasploit SMB交付模块生成PowerShell载荷

同样,生成的PowerShell命令将需要导入到Word文档的注释中。

文档属性中的PowerShell有效内容

当宏执行时,将打开Meterpreter会话。

Metasploit SMB 交付模块——通过PowerShell Payload的Meterpreter Shell

对于在员工主机中执行深度数据包检查的企业或组织,Metasploit Web交付模块可以为PowerShell有效载荷提供服务,并使用自定义证书来封装所有通信。这将使这种攻击在鱼叉式钓鱼场景中更加有效。

exploit/multi/script/web_delivery

Metasploit Web 交付模块——通过文档属性获取的Meterpreter

结论

这种技术提供了一种简单的方法在Microsoft Office文档的文档属性中来隐藏恶意命令。触发有效载荷的宏不会被认为是恶意的宏,文档文件的注释部分也不会被各种杀毒软件进行检查,因为很多杀软是通过将文档上传到VirusTotal来进行检测的。

病毒查杀总结果 —— 文档属性中的有效载荷

因此,如果目标用户以某种方式确信打开并运行了宏,那么唯一能阻止这种攻击的是一个主机入侵防御系统,它将丢弃Meterpreter连接,因为没有任何东西接触到磁盘。但是可以通过使用证书来加密连接来避开HIPS。有关此技术的详细信息,请参阅文章:绕过防病毒和主机入侵防御系统。

文章转自嘶吼

本文来自企鹅号 - 聚锋实验室媒体

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏Danny的专栏

学习中遇到的小技巧 一(暂停更新)

版权声明:本文为博主原创文章,未经博主允许不得转载。 https://blog.csdn.net/huyuyang6688/article/...

1132
来自专栏信安之路

网络安全渗透测试

针对网络的渗透测试项目一般包括:信息收集、端口扫描、指纹识别、漏洞扫描、绘制网络拓扑、识别代理、记录结果等。下面就一一介绍。

2140
来自专栏猛牛哥的博客

门罗币新挖矿软件的使用方法

2.1K8
来自专栏极客编程

EOS区块链平台智能合约示例HelloWorld

一般环境设置通过上一篇文章已经说明,这方面的问题大家可以看本博客上一篇文章,本文引用了官方EOS在Git上的示例。

1032
来自专栏知识分享

八,ESP8266 文件保存数据(基于Lua脚本语言)

应该是LUA介绍8266的最后一篇,,,,,,下回是直接用SDK,,然后再列个12345.......不过要等一两个星期,先忙完朋友的事情 前面几篇 用AT指令...

4097
来自专栏L宝宝聊IT

史上最全的网络端口号大全

2245
来自专栏FreeBuf

一次入侵应急响应分析

本文是前段时间处理某用户被黑的分析总结,用户被黑的表现是使用爬虫访问用户网站的首页时会出现博彩关键字,而使用正常浏览器访问时无相关的博彩关键词。这是典型的黑帽S...

2182
来自专栏区块链入门

第5课 EOS环境搭建入门(私链节点-钱包-密钥-账号)

【本文目标】 通过本文实践,能在已编译的EOS V1.0.5版本环境上,完成私链节点启动,钱包创建,密钥导入和账号创建等内容。 【前置条件】 你已完成了E...

4103
来自专栏Eugene's Blog

黑客常用的扫描器盒子分类目录文章标签友情链接联系我们

3159
来自专栏区块链入门

第二十三课 如何部署TRUFFLE智能合约到以太坊主网(以宠物商店为例)1,摘要2, 操作内容3,常见问题和解决方法4, 参考

通过《第六课 技术小白如何开发一个DAPP区块链应用(以宠物商店为例)》 学习,大家掌握了一个DAPP的编程和以太坊私有测试环境调试,本文做进一步的技术深入学习...

2084

扫码关注云+社区

领取腾讯云代金券