这些电子邮件的附件是带有恶意宏的文档,执行时会尝试下载多种不同的恶意软件变体。...在调查恶意活动时,我们很少看到使用 Outlook 宏来传递恶意软件。...此恶意代码包以 VBScript 开始,如果 Outlook 进程正在运行,该脚本首先会杀死它,然后通过更改注册表值来消除 Outlook 中 VBA 宏执行的安全性。...Office 宏注入模块 – CodeBuilder 我们分析了 Gamaredon 小组使用的恶意模块的不同变体,用于将恶意宏或远程模板注入已存在于受感染系统上的文档中。...这些宏注入模块还具有篡改 Microsoft Office 宏安全设置的功能。因此,受影响的用户不知道他们在打开文档时再次破坏了他们的工作站。
接下来,嵌入Word文档中的基于VBA的指令会读取精心构建的Excel电子表格单元以创建宏。这个宏将使用附加的VBA宏填充同一XLS文档中的附加单元格,从而禁用Office的安全防御功能。...混淆机制分析 由于Microsoft Office会自动禁用宏功能,因此攻击者会试图用出现在Word文档中的消息欺骗目标用户以启用宏功能。...当用户停止操作之后,这个宏将会被保存下来,并且会被分配给一个按钮,当用户点击这个按钮时,它会再次运行完全相同的过程。...一旦Excel宏被创建并准备好执行,脚本将修改Windows的注册表键以禁用受害者计算机上VBA的信任访问。这使得脚本能够无缝地执行功能,而不会弹出任何的警告。...毫无疑问,恶意文档一直是大多数恶意软件家族的初始感染入口,这些攻击也在不断演变和升级其感染技术以及混淆技术。因此,我们建议广大用户,仅当接收到的文档来自可信来源时才启用宏功能,这样才是安全的。
它会传播到其他文档,可能会遇到泄漏敏感信息,文件被加密等等 当前Microsoft Office的宏是使用Visual Basic for Applications(VBA)编写的,是Microsoft...流行的Visual Basic编程语言的一种变体专门为Office建的 VBA可在大多数Office程序中使用,例如Access,Excel,Outlook,PowerPoint,Project,Publisher...比如说将样式和格式应用于文本,或者与数据源进行通信,甚至单击即可创建全新的文档 0x01 如何工作 宏病毒的工作原理是假装以看似正常的方式执行操作,有些文档嵌入文档中并在打开文档时自动运行。...当打开受感染的文档时,屏幕上会出现一个带有文本“ 1”的消息框 Word.Macro.Nuclear 核中的所有宏都受到保护,无法对其进行查看或编辑。...尽量也不要点击弹出式广告 总结一句话:禁用宏
本教程将教你如何使用Excel和Outlook,通过简单的VBA代码实现邮件的自动群发,提高工作效率。...步骤三:编写VBA代码点击“开发工具”标签,选择“Visual Basic”。在“工具”菜单中选择“引用”,找到并选中对应的Outlook版本,点击“确定”。...点击按钮即可发送邮件文件保存时应选启用宏的工作簿,默认宏是不开启的,需要启用宏才能发邮件,点击发邮件前确认outlook在运行如有多个邮箱,可切换默认邮箱实现换邮箱发信常见问题解答宏无法运行:确保在打开...Excel文件时启用了宏。...Outlook未响应:确认Outlook在运行,并已正确配置。通过以上步骤,你可以轻松实现使用Excel和Outlook进行邮件群发,大大提高工作效率。
通过阅读理解微软文档我们可以知道amsi对宏的检测查杀流程: 1.word等等钓鱼文件加载宏 2.VBA宏运行时,运行时会有一个循环的缓冲区中记录数据和参数调用Win32,COM, VBA等等api的情况...简单来说就是: 记录宏行为>>触发对可疑行为的扫描>>在检测到恶意宏时停止 查杀过程 记录宏行为 我们知道VBA 语言为宏提供了一组丰富的函数,可用于与操作系统交互以运行命令、访问文件系统等。...Office 365 AMSI 用户配置 > 管理模板 > Microsoft Office 2016 > 安全设置 1.对所有文档禁用:如果对所有文档禁用该功能,则不会对启用的宏执行运行时扫描。...该协议允许 VBA 运行时向反病毒系统报告它即将执行的某些高风险代码行为,并允许反病毒在观察到的行为序列表明可能存在恶意活动时向进程报告,以便 Office应用程序可以采取适当的行动。...启用此功能后,受影响的 VBA 项目的运行时性能可能会降低。 1.使用cobat Strike生成我们的恶意代码 ?
项目资源管理器:项目资源管理器显示了VBA项目中的所有模块、表单、工作表等组件。您可以在项目资源管理器中管理和组织您的VBA项目结构。属性窗口:属性窗口显示当前选定对象的属性和属性值。...工具栏:VBA编辑器的工具栏提供了快速访问常用功能的按钮,例如运行、停止、调试等。您可以通过工具栏快速执行各种操作。...宏:打开宏列表,支持对列表中的宏进行编辑,例如运行、修改、删除等操作。录制宏:点击录制宏可以将键盘和鼠标操作,自动转换成 VBA 代码。这个功能在实际的VBA开发过程中使用非常频繁。...使用相对引用:用来配置录制宏时的选定的单元格。宏安全性:设置 Excel 如何对待包含 VBA 代码的工作簿。...因为存在一些恶意的代码,所以一般将宏安全性设置为禁用3.4 Excel文档内部打开VBA编辑器的方式Excel2013 可以点击最底部的sheet标签页右键查看代码可以打开。
VBA同Visual Basic(VB.NET)的区别是,VBA是运行在Excel,Word或Access等Office程序上的编程语言,它是从VB基础上改良的,可以直接作为Excel,Word或Access...打开包含宏的Excel文件时,可能会显示如下安全警告(图5) 图5 单击[启用内容]按钮后,消息条就消失了。(图6)。...单击[宏设置]并且勾选「禁用所有宏,并发出通知,之后单机[确定]按钮(图7)。...图7 如图设置完毕后,打开包含宏的工作簿时宏是被禁用的;如果确认宏的安全性没有问题,用上面图5图6的方法再启用宏就可以了。 举例创建一个最简单Excel宏 现在我们尝试着创建一个具体的宏出来。...单击[开发工具]选项卡中的[宏],会显示所有已存在的宏。(图10)。 图10 在图10的画面中,单击[编辑],将会启动VBE并显示宏的内容。
经常给大家推荐好用的数据分析工具,也收到了铁子们的各种好评。这次也不例外,我要再推荐一个,而且是个爆款神器。...从Excel调用Python函数 使用Excel离不开函数,而当我们需要一些复杂功能时,自带函数未必能满足我们的需求。...这就避免了Excel和Jupyter之间的来回切换成本,有点像dataframe的apply用法,写个函数直接与Excel完美融合。 函数写好后,还可将其添加到PyXLL Python项目中。...这对于熟悉Python但不熟悉VBA的同学绝对是个好消息。 官网还给出了和VBA功能一样的API说明文档。...弄清楚如何使用Excel对象模型进行操作的一种好方法是记录VBA宏,然后将该宏转换为Python。 下图中尝试将当前选择单元格更改颜色。 ?
利用宏规则散布恶意程序已成为众所周知的途径,因此许多人都通过禁用宏规来保护信息安全。但如今,“宏”似乎变成了一个可以绕过的障碍。...此前的Word 0-day漏洞就无需启用宏,只需打开文档便可植入恶意程序。...同时,越来越多的机构都开始”禁用宏“,因此Sensepost试图寻找其他的攻击方式。...Outlook Forms可以运行VB脚本内容,与此同时,表单的脚本引擎与VM 宏的脚本引擎是相互分离的,这就意味着,攻击者可以在不启用宏的情况下发动攻击。...Stalmans在文中提到: “你需要一小部分的社工技巧,吸引用户打开消息或对其进行转发。其优势就在于,即便用户把邮件转发给应急响应团队,payload依然可以触发。”
即已具备在WORD ACCESS OUTLOOK FOXPRO PROWERPOINT 中用VBA创建解决方 案的大部分知识...执行宏 当执行一个宏时,EXCEL 按照宏语句执行的情况就像 VBA 代码在对 EXCEL 进行”遥控”。...查看录制的代码 到底是什么在控制EXCEL的运行呢?你可能有些疑惑.好,让我们看看VBA的语句吧. 1、选择”工具”-“宏”-“宏”,显示”宏”对话框。...学习 VBA 或编程语言在某 种程度上比较像在学习一种外语。 Sub 改变颜色():这是宏的名称。 中间的以” ‘”开头的五行称为”注释”,它在录制宏时自动产生。...你会发现结果和修改前的状况一样。在 With 语句前加入一行: Range(“A5”).Select 试着运行该宏,则无论开始选择哪个单元格,宏运行结果都是使A5单元格变红.
受害者每小时最多可以收到五个通知,从而增加了他们采取行动的可能性。 点击后,恶意应用程序会将用户重定向到要求他们提交电话号码进行验证以领取奖品的在线网站。...默认情况下,该开关将在Microsoft 365租户中禁用这些类型的宏。 Microsoft建议人们使用VBA宏,而不是Excel4.0XLM宏。...多年来,该公司一直在推动人们使用这些更安全的宏,但现在将通过默认禁用Excel 4.0 XLM宏来进一步推动。VBA宏支持反恶意软件扫描接口(AMSI),它可以扫描文档中的恶意软件和其他危险内容。...Windows管理员可以通过Excel信任中心禁用XLM宏,不过微软很快就会默认禁用Excel 4.0宏。预览版将在10月默认禁用XLM宏,更改将在11月推出。...分析中详述的前五个漏洞中最古老的漏洞是CVE-2012-1723,这是Oracle Java SE7中Java运行时环境(JRE)组件中的一个漏洞。
wePWNise是一款功能强大的Office宏VBA代码生成工具,该工具基于纯Python开发,可以帮助广大研究人员生成用于Office宏或模版的VBA代码,并以此来测试目标Office环境、应用程序控制和防护机制的安全性...工具运行流程 工具要求 Python termcolor包 安装命令如下: pip install termcolor 工具下载 由于该工具基于Python 2开发,因此我们首先需要在本地设备上安装并配置好...False,默认为True --out 输出VBA宏的文件路径 --msgbox...显示消息框以防止自动化分析,默认为True --msg --msgbox设置为True时,需要显示的自定义提示消息 工具使用样例...-out /payloads/cs_wepwn.txt 自定义Payload 在某些特定场景下,我们可能只能拿到x86 Payload,而wePWNise需要32位和64位两种架构的Payload,为了禁用
文章背景: 作为VBA新手,在运行自己编写的代码时,可能会遇到VBA运行缓慢的问题。可以采取以下8个措施来提高运行效率。...1 关闭除VBA中的必需品之外的所有东西2 通过系统设置禁用Office动画3 删除不必要的Select方法4 使用With语句读取对象属性5 使用 ranges 和 arrays6 使用...代码时要做的第一件事就是在宏运行时关闭不必要的功能,例如动画、屏幕更新、自动计算和事件。...这些功能可能会增加额外的开销并减慢宏的速度,尤其是宏正在修改许多单元格并触发大量屏幕更新和重新计算的情况下。...Select方法可以触发单元格事件,例如动画和条件格式,这会减慢宏的速度,因此删除不必要的Select方法可以显著加快宏的运行速度。
Microsoft Exchange 服务器是威胁参与者的常见目标,不仅因为它们提供了多个入口点,而且因为它们在绑定到 Active Directory 时提供了持久性和域升级的机会。...Microsoft 已发布补丁,通过降低对 Active Directory 的权限来修复各种版本的 Exchange 服务器的问题。...这将导致威胁参与者利用 NTLM 中继作为一种技术来获取邮箱访问权限并执行恶意操作的尝试失败。...零值表示禁用 Outlook 规则。...展望主页 Outlook 主页功能可用于注入将在用户系统上执行任意有效负载的页面。在浏览邮箱文件夹或重新启动 Microsoft Outlook 时将触发有效负载。
VBA介绍 Visual Basic for Applications(VBA)是 VisualBasic 的一种宏语言,是微软开发出来在其桌面应用程序中执行通用的自动化(OLE)任务的编程语言。...基本上,能用鼠标和键盘能做的事情,VBA 也能做。 正如前文所述,VBA 可以运行在 Office 软件上,包括 Excel、Word、PPT、Outlook 等。...编写第一个VBA宏 「宏」:简单的说,宏是一段可以运行的 VBA 代码片段。 step one 创建启用宏的工作簿 首先新建一个工作簿,并将工作簿保存为「启用宏的工作簿」类型。...VBA 中的顺序就是从上到下、从左到右的顺序。 在示例中,首先运行两个声明语句,然后运行循环结构,以此类推。值得注意的事,当程序有嵌套时,嵌套的部分也是按照顺序指定的。..." Val(4) = "Outlook" 基础运算符 使用 VBA 开发某项功能,本质上是,对变量进行基础的运算和操作,例如加减乘除比较等。
在处理大量数据或复杂任务时,Excel中可能需要创建多个工作表来组织数据或进行分析。而手动逐个创建或删除工作表是一项繁琐的任务,费时费力。...按下F5键或点击运行菜单中的“运行”选项,运行VBA宏。...总结: 利用VBA批量创建和删除Excel工作表是提高工作效率的好方法。通过VBA宏编程,我们可以轻松地实现批量创建多个工作表,并在不需要时快速删除这些工作表。...然而,在使用VBA宏时需谨慎操作,避免误操作造成数据丢失。建议在运行宏之前备份工作簿,以防万一。 希望本文能帮助你学会利用VBA批量创建和删除Excel工作表,并在日常工作中发挥更大的效用。...掌握VBA宏编程能力将带给你更多的便利和技能,让Excel成为你工作中的得力助手!
感染过程 鱼叉邮件附件 感染链从 RTF 文件开始,该文件作为鱼叉邮件的附件进行发送。受害者执行后会向用户连续显示 5 个启用宏的请求。...这五个请求时由 RTF 带有的 5 个嵌入式 OLE 对象产生的,每个对象都包含一个 OOXML。每个 OOXML 内部都含有一个 VBA 宏,当用户启用宏代码时,其中一个宏将会被执行。...一旦五个部分都成功运行,将开始执行生成的 Powershell 代码。 Powershell 执行 合并而来的 Powershell 代码是高度混淆的: ?...Powershell 代码的主要目的是尝试绕过 AMSI 并使用 WebClient().DownloadFile 下载文件。 ?...通过 AmsiScanBuffer 函数提供的缓冲区来尝试进行 AMSI 绕过(上图红色正方形部分),Powershell 中的 af23a 函数对其进行混淆处理。
到目前为止我尝试了所有魔力象限(Magic Quadrant)所列举的邮件过滤解决方案,没有一款能够检测到其中内容。...用户接收到邮件,如果他打开testing.msg文件,就会打开可执行文件,以及你在其中写下的提示!...更糟糕的是Outlook.exe作为中等完整性运行,并生成可执行文件(或批处理文件,或者其他你嵌入的内容)都是中等完整性,所以你就跳出了Outlook以及Windows的沙盒的保护。...除了Outlook 2013,你可以转换HTML消息格式转换为富文本格式,然后返回插入 -> Package 勾选“显示为图标”选项,然后选择一个新的图标—— Winword.exe和Excel.exe...其三是EMET,如果你运行Microsoft EMET(或者像Palo-Alto TRAPS的类似产品),可以为Outlook.exe增加以下规则: <Mitigation Name="ASR" Enabled
表面上看,2007带来了全新的UI风格——Ribbon,这是一次大胆地尝试,因为谁都知道2003的菜单已经非常多了,以至于对于不少新手来说,经常发生找不到功能所在的位置。...多少个抽着劣质香烟熬着的夜晚,我都是在跟下面这样的错误提示消息作战,直到多年以后的技术有了一定的提高,我也终于真正意义上找到了对象。 ?...但是,一个好消息是,在Office应用程序中,都提供了录制宏的功能,也就是说,你可以先按照想法进行操作,然后录制工具会把相应的代码记录下来,通常这些代码直接就可以运行,但是理想情况下应该是略加修改才真正有实用价值...毫不避讳地说,这是我早年学习VBA的一个重要法宝。编程工具能做到这个层面,不光是业界良心,而且从技术上面说也是相当先进的。 宏——macro——是VBA中的一个重要概念,通常可以简单理解为一组代码。...需要注意的是,VSTO相比VBA来说,在部署方面会更加复杂。首先,它要求目标运行的环境,不光是Office版本要一致(通常高版本可以向下兼容),而且必须有对应的.NET运行环境。
领取专属 10元无门槛券
手把手带您无忧上云
云服务器
ICP备案
云直播
对象存储
实时音视频
