为 Word 和 Excel 文档添加了狡猾的远程模板注入器;独特的 Outlook 群发邮件宏 ESET 研究人员发现了几个以前未被记录的攻击后工具,这些工具被高度活跃的 Gamaredon 威胁组织在各种恶意活动中使用...我们还进一步分析了能够将恶意宏和远程模板注入现有 Office 文档的 Gamaredon 工具。...Office 宏注入模块 – CodeBuilder 我们分析了 Gamaredon 小组使用的恶意模块的不同变体,用于将恶意宏或远程模板注入已存在于受感染系统上的文档中。...值得注意的是,有两个文本文件,一个用于 Word,一个用于 Excel,包含要插入目标文档的恶意宏的 VBA 源代码,以及负责查找和破坏现有文档的 .NET 程序集。...恶意软件将每个找到的文档移动到AppData文件夹,使用Microsoft.Office.Interop对象将恶意 Word 或 Excel 宏插入其中,然后将文档移回其原始文件夹。
最近有一个开发需求,将生成的word数据报表以网页格式推送,正好找到一个简单快速转换的模块mammoth。...这篇简短的文章将指导您如何在基于 Python 的 CLI — Mammoth的帮助下,以简单的方式将.docx word 文档转换为简单的网页文档 ( .html ) 或 Markdown 文档 (...您可以使用 Microsoft Word 轻松地做快速笔记、简短报告、教程文档等。...而且,您可能希望将文档内容作为 Web 文档 ( .html )) 或 Markdown 文档 ( .md )与您的一些朋友、同事、客户共享。...然后,打开 CMD 或终端并使用以下命令: pip install mammoth 将Docx 转换为HTML 使用命令行: $ mammoth input_name.docx output_name.html
关于Codecepticon Codecepticon是一款功能强大的代码混淆处理工具,该工具专为红队和紫队渗透测试安全活动而开发,在该工具的帮助下,广大研究人员可以轻松对C#、VBA5/VBA6...(宏)和PowerShell源代码进行混淆处理。...,并且Codecepticon提供了两种使用方法,要么将所有参数放在命令行中。...--config C:\Your\Path\To\The\File.xml (向右滑动、查看更多) C# 运行工具后,直接选择对应的解决方案,即可对C#项目进行混淆处理。...VBA/VBA6 VBA混淆针对的是宏文件源代码本身,而非Microsoft Office文档。
在处理文档时,将Word文件转换为PDF格式是一个常见需求。PDF格式的文档更加标准化,易于分享和阅读,同时也能很好地保持原始布局和格式。...本文将指导你如何在CentOS系统上使用LibreOffice来完成这一任务。...转换命令要将Word文档(.doc或.docx)转换为PDF格式,可以使用以下命令:libreoffice --headless --convert-to pdf your_word_document.docx...your_word_document.docx应替换为你的Word文件名。指定输出目录默认情况下,转换后的PDF文件将保存在原Word文档相同的目录下,并使用相同的文件名(仅扩展名变为.pdf)。...注意事项在使用命令行转换功能时,LibreOffice暂时无法直接通过命令行参数来指定转换后的PDF文件名。转换后的文件名将会和原始Word文档的文件名相同,只是扩展名变为.pdf。
f指定生成vba宏语言的攻击payload 首先新建一个支持文件宏的office文件,以.docm进行演示。...实战 类似office宏还有一些其它利用方式,如DOCX文档远程模板注入执行宏,还可以通过shellcode进行免杀处理。...在实战中,首先尽可能社工目标的各种信息,取得对方信任,根据钓鱼的目标,修改文档的名字,通过邮箱进行发送,如xx公司采购说明。 office宏钓鱼存在几大不适用性: 1、对方电脑未使用office。...使用AES加密来加密给定的shellcode 生成包含加密有效负载的可执行文件 使用各种注入技术将shellcode解密并注入目标系统 ?...本次使用cs进行演示。 1、生成c#的payload ? 2、保留16进制,使用notepad++去除空格 ? 3、复制到payload框中进行加密 ?
推片来源 https://mp.weixin.qq.com/s/YKZ6yWWxOhn2KjTV5lDP7w 2.2 Word宏钓鱼 CS生成宏 打开Word文档,点击 “Word 选项 — 自定义功能区...编写主体内容后,点击 “开发工具 — Visual Basic”,双击 “ThisDocument” ,将原有内容全部清空,然后将宏payload全部粘贴进去,保存并关闭该 VBA 编辑器 。...默认情况下,Office已经禁用所有宏,但仍会在打开Word文档的时候发出通知。...利用Word文档加载附加模板时的缺陷所发起的恶意请求,而达到的攻击目的,所以当目标用户点开攻击者发送的恶意Word文档就可以通过向远程服务器发送恶意请求的方式,然后加载模板执行恶意模板的宏。...文档的URL 将DOCX解压后的内容再以存储模式压缩为ZIP 修改后缀名为DOCX,打开后即可实现远程注入宏文档 按照上述Word宏钓鱼方法制作,保存时保存类型为 dotm , fish.dotm, 开启
那么关于宏的安装和录制就不在这里详述了,我们再来把视线转向我们今天的主角——宏病毒 宏病毒是一种寄存在文档或模板的宏中的计算机病毒,存在于数据文件或模板中(字处理文档、数据表格、数据库、演示文档等),使用宏语言编写...在Word和其他微软Office系列办公软件中,宏分为两种 内建宏:局部宏,位于文档中,对该文档有效,如文档打开(AutoOpen)、保存、打印、关闭等 全局宏:位于office模板中,为所有文档所共用...使用实现设置好的监听器 ? 复制宏代码 ? 新建一个word文档生成一个宏 ? 找到project里面的Word对象,将代码粘贴 ?...这里我假设已经将word发给了我要钓鱼的主机上,可以使用社工的方法使诱导被害者点击启用这个宏,具体方法我就不说了,师傅们自行拓展 ? 点击过后发现已经上线了 ?...该工具重用了部分Kavod.VBA.Compression代码来实现压缩算法,并且使用了Mono C#编译器实现了在Linux、macOS和Windows平台上的完美运行。
某段数据上标记了字母'M',表示这段数据中含有VBA宏(Macro): 宏病毒的激发机制有三种:利用自动运行的宏,修改Word命令和利用Document对象的事件。...越过自动宏(如果怀疑文档中存在宏病毒,可以在Office打开文档的时候,始终按住Shift键,将禁止存在的一起自动宏。)...使用VBA_Password_Bypasser打开这个文档文件就可以正常打开VBA编辑器了,而不需要输入密码。...在最基础的水平上,我们可以使用 Empire 或 Unicorn 来创建一个 VBA 宏: (实际情况,使用empire可以成功反弹shell;使用Unicorn显示生成payload的代码版本不兼容office2016...生成vba代码: word操作 点击上方标签视图标签,在该标签中点击宏按钮,弹出的对话框中输入宏名字,然后单击创建按钮。
微软是不会允许将包含宏的文档命名为 docx,但是可以被命名为老版的 doc。...3、将所有文件再次压缩回一个 xlsm 文件 问题在于只有 excel 能弹出这种宏警告框,如何让 Word 也弹出类似的警告框呢?...当启动 word 时,会启动 excel 并弹出 excel 旧版宏警告,点击禁用宏后还会启动第二个 excel,一共启动五次,用户体验极差,当 excel 处理完成之后才会弹出 Word 文档 ?...内嵌的宏使用了 VBA Stomping,接着使用 Pcodedmp 将 P-Code 反编译出来,解混淆找到 URL 即可 常用的规避杀软的手法 一、目前杀软查杀 VBA 基本上都是静态查杀,所以静态免杀至关重要...推荐使用 WMI 来执行后续攻击链,由 WMI 启动的进程的父进程为 wmiprvse.exe 而不是 word.exe 这样就可以与恶意 word 文档取消关联,规避检测 ?
CobaltStrike 生成宏 ? 打开 Word 文档,点击“Word 选项 — 自定义功能区 — 开发者工具(勾选) — 确定”。 ?...双击 “ThisDocument” ,将原有内容全部清空,然后将 CobaltStrike 生成宏 payload ? 全部粘贴进去,保存并关闭该 VBA 编辑器 。 ?...这里以 EvilClippy 作为演示 用于创建恶意 MS Office 文档的跨平台助手。 可以隐藏 VBA 宏,踩 VBA 代码(通过 P 代 码)并混淆宏分析工具。...无毒正常的 vba 脚本 免杀测试 新建一个包含宏的 docx 文档 ?...这里需要选择否,然后保存为启用宏的 word 文档 ?
CobaltStrike 生成宏 打开 Word 文档,点击“Word 选项 — 自定义功能区 — 开发者工具(勾选) — 确定”。...双击 “ThisDocument” ,将原有内容全部清空,然后将 CobaltStrike 生成宏 payload 全部粘贴进去,保存并关闭该 VBA 编辑器 。...另存为的 Word 类型务必要选”Word 97-2003 文档 (*.doc)”,即 doc 文件,保证低版 本可以打开。之后关闭,再打开即可执行宏代码。...这里以 EvilClippy 作为演示 用于创建恶意 MS Office 文档的跨平台助手。 可以隐藏 VBA 宏,踩 VBA 代码(通过 P 代 码)并混淆宏分析工具。...粘贴 CS 生成宏代码流程 然后粘贴进来 再 Ctrl+S 保存 这里需要选择否,然后保存为启用宏的 word 文档 注意:这里一定要先关闭杀软,不然会保存失败,因为现在还没有做免杀处理
Moniker 对象,利用的是 .net 库漏洞,在 Office 文档中加载执行远程的恶意 .NET 代码,而整个漏洞的罪魁祸首竞是 .NET Framework 一个换行符处理失误。...https://github.com/nccgroup/demiguise Office-DDE-Payloads 这个项目可以生成嵌入 DDE 的 word 和 excel 的模版,可以在进行钓鱼攻击的时候使用...、VBA等)以及恶意的快捷方式,还支持混淆功能,可以将恶意代码自动混淆。...注入到 Office 文档中,在用户打开文档的时候,弹出认证窗口,如果用户在认证框中输入了自己的用户凭证,那么攻击者就可以获得用户的凭证,这在社工钓鱼中非常有用。...https://github.com/threatexpress/metatwin WePWNise 这个工具可以生成能够注入到 Office 文档中的 VBA 脚本,生成的 VBA 脚本在执行的时候可以自动识别系统
其实不难理解,首先我们要知道我们的恶意脚本是如何注入内存执行的 bypass 杀毒软件时我们的脚本一定是模糊处理的,但是无论我们什么样模糊处理到注入内存执行的时候一定是纯净,清晰的代码,不然脚本引擎无法理解和执行我们的恶意脚本...Office VBA + AMSI 当然amsi也可以检测vba和Java script 在实战中,使用宏攻击(钓鱼)也是我们常用的手法,所以我们要知道amsi对宏文件的检测流程 在微软文档中我们可以看到...通过阅读理解微软文档我们可以知道amsi对宏的检测查杀流程: 1.word等等钓鱼文件加载宏 2.VBA宏运行时,运行时会有一个循环的缓冲区中记录数据和参数调用Win32,COM, VBA等等api的情况...2.为低信任文档启用:如果为低信任文档启用该功能,则将为启用宏的所有文档启用该功能,除了: 在宏安全设置设置为“启用所有宏”时打开的文档 从可信位置打开的文档 作为受信任文档的文档 包含由可信发布者数字签名的...VBA 的文档 3.为所有文档启用:如果为所有文档启用该功能,则不会从行为中排除上述类别的文档。
本文演示的例子是,在Excel中使用VBA打开新的Word文档,复制Excel图表并粘贴到这个文档中。同时,介绍了一种你不熟悉Word VBA的情形下怎样获取相关的代码并在Excel中使用的方法。...首先,在Word中,我们录制一个打开新文档的宏。 单击功能区“开发工具”选项卡中的“录制宏”按钮,然后单击“文件——新建——空白文档”,接着单击“开发工具”选项卡中的“停止录制”按钮。...在Word VBA中使用Documents.Add开始,在Excel VBA中修改为WordApp.Documents.Add,并且在VBA代码中通常不需要选择并激活对象,因此,修改后的代码如下: Sub...True Set WordApp = Nothing End Sub 注意,使用VBA打开应用程序时,通常是在后台打开,因此,要使Word文档可见,添加了下面的代码: WordApp.Visible...并创建新文档,然后将Excel工作表中的图表复制到该文档中的代码完成。
接下来,嵌入Word文档中的基于VBA的指令会读取精心构建的Excel电子表格单元以创建宏。这个宏将使用附加的VBA宏填充同一XLS文档中的附加单元格,从而禁用Office的安全防御功能。...对于Zloader,恶意软件会使用Word中的信息更新电子表格单元格的内容。Word文档可以读取下载的.XLS文件中特定Excel单元格的内容,然后使用基于Word的VBA指令填充Excel文档。...而VBA则是微软用于Excel、Word和其他Office程序的编程语言,VBA允许用户使用宏记录器工具创建命令字符串。...在这种情况下,与VBA的其他滥用案例一样,Zloader也会利用这种功能来创建恶意宏脚本。 Excel将记录用户执行的所有步骤,并将其保存为一个名为“process”的宏。...一旦Excel宏被创建并准备好执行,脚本将修改Windows的注册表键以禁用受害者计算机上VBA的信任访问。这使得脚本能够无缝地执行功能,而不会弹出任何的警告。
包含所有office格式的文档3.2 office文档界面方式不打开开发工具标签栏针对office2013的话,通用的打开方式操作步骤如下:使用office2013打开文档→顶部菜单栏选择视图→找到【宏...Excel2013界面找到宏word2013界面找到宏界面如下:PowerPoint 2013界面找到宏界面如下:3.3 使用开发者工具打开VBA编辑器Excel打开开发者工具的步骤如下:功能区任意区域鼠标右键弹出菜单选择...宏:打开宏列表,支持对列表中的宏进行编辑,例如运行、修改、删除等操作。录制宏:点击录制宏可以将键盘和鼠标操作,自动转换成 VBA 代码。这个功能在实际的VBA开发过程中使用非常频繁。...使用相对引用:用来配置录制宏时的选定的单元格。宏安全性:设置 Excel 如何对待包含 VBA 代码的工作簿。...因为存在一些恶意的代码,所以一般将宏安全性设置为禁用3.4 Excel文档内部打开VBA编辑器的方式Excel2013 可以点击最底部的sheet标签页右键查看代码可以打开。
,半生不熟),那么Office 2003是我真正意义上开始较为深入使用的版本,尤其以Excel和Access这两个组件,结合当时的实际工作需要,我使用VBA开发了从简单到复杂的各种小应用。...(通常在默认的文件扩展名后面添加一个x以示区分,如Word 2003的格式是doc,而Word 2007虽然依然支持doc,但更推荐用户使用docx文件格式)。...针对.NET开发人员,微软还专门提供了OpenXML SDK,支持从自定义程序中通过OpenXML的标准操作Office文档(不要求本地安装有Office)。 ?...这里就是我们熟悉的.NET编程的体验,可以用到几乎所有.NET Framework的功能,目前VSTO支持的开发语言除了VB.NET,还有C#。...必须提出的是,微软对于VBA和VSTO的支持将继续保留,它们有自己的优势,尤其是对于Office 应用程序自有功能的自动化、快速开发、在本地使用的场景。
虽然Zebrocy最初是用Delphi(称为Delphocy)编写的,但此后已被用六种语言实现,包括AutoIT,C ++,C#,Go,Python和VB.NET。...总体来说,我们发现了6个与这个集群相关的Delphocy Word文档,它们都包含相同的删除PE文件的VBA脚本。...我们展示了研究人员如何绕过密码保护宏,并描述了如何使用IDR(交互式Delphi重构器)反编译Delphi,以及如何使用dhrake的插件将保存的IDC文件导入Ghidra。...二.绕过VBA宏密码保护 在使用VBA宏分析Office文档时,攻击者有许多不同的工具和技术来完成这项工作,但我已经养成了一个习惯。...= 5.保存更改的文件 当打开Word文档并查看宏时,您可以看到脚本和表单。
这时候,就该轮到【宏】登场了。 短评:「Visual Basic(VB.NET)和VBA以及宏的区别」 VBA是Excel编程所用的语言,而VBE编程所用的开发环境。...VBA同Visual Basic(VB.NET)的区别是,VBA是运行在Excel,Word或Access等Office程序上的编程语言,它是从VB基础上改良的,可以直接作为Excel,Word或Access...想实现同样的功能,使用Visual Basic(VB.NET)要比使用VBA多写很多行程序。 宏命令,说到底也就是记录操作步骤的一种功能。记录内容本质上是用VBA语言编写和保存的一段代码。...先使用宏将操作步骤记录为一段程序,然后针对这段程序进行再编辑,就能实现更加丰富的功能。...比如将图1中的手动操作用宏来实现。初次创建宏时使用[录制宏]功能就可以了。 首先,单击[开发工具]选项卡,然后单击[录制宏]。在[录制宏]的界面上,将[宏名称]指定为「拷贝粘贴」。
,文件被加密等等 当前Microsoft Office的宏是使用Visual Basic for Applications(VBA)编写的,是Microsoft流行的Visual Basic编程语言的一种变体专门为...Office建的 VBA可在大多数Office程序中使用,例如Access,Excel,Outlook,PowerPoint,Project,Publisher,Visio和Word等等。...在感染NORMAL.DOT之前在Microsoft Word下打开受感染的文档时,该病毒将获得AutoOpen宏的控制权,并感染选定的全局默认模板通常为NORMAL.DOT 之后使用File | SaveAS...比如说将样式和格式应用于文本,或者与数据源进行通信,甚至单击即可创建全新的文档 0x01 如何工作 宏病毒的工作原理是假装以看似正常的方式执行操作,有些文档嵌入文档中并在打开文档时自动运行。...当打开受感染的文档时,屏幕上会出现一个带有文本“ 1”的消息框 Word.Macro.Nuclear 核中的所有宏都受到保护,无法对其进行查看或编辑。
领取专属 10元无门槛券
手把手带您无忧上云
云服务器
即时通信 IM
ICP备案
对象存储
实时音视频
