一种工具是针对 Microsoft Outlook 的 VBA 宏,它使用目标的电子邮件帐户向受害者 Microsoft Office 通讯录中的联系人发送鱼叉式钓鱼电子邮件。...它还将恶意 OTM 文件(Outlook VBA 项目)保存到磁盘,其中包含宏、恶意电子邮件附件,在某些情况下,还保存了电子邮件应发送到的收件人列表。...他们一直在以三种不同的方式使用此模块将恶意电子邮件发送到: 受害者通讯录中的每个人 同一组织内的每个人 预定义的目标列表 虽然在未经受害者同意的情况下滥用受感染的邮箱发送恶意电子邮件并不是一种新技术,但我们认为这是第一个公开记录的攻击组使用...创建恶意电子邮件的 Outlook VBA 脚本 基于此恶意 VBA 代码的“发送至联系人列表中的所有人”行为,我们认为该模块可能导致一些组织认为他们已成为 Gamaredon 的目标,而他们只是附带损害...在持久性方面,使用了几种不同的技术,但最常见的是计划任务、自动运行注册表项和利用 Startup 文件夹。
相关信息 (1)木马传播方式 攻击者通过精心构造邮件内容,向特定目标发送鱼叉式邮件。例如,攻击律师事务所的邮件包含薪资和财政事宜,为了诱骗邮件接收者,攻击者还以社工方式“精心”编写了相关邮件内容。...攻击时间线 在我们的调查中,多个NanHaiShu木马样本被发现,其中一些特定样本被用来窃取南海仲裁案相关的情报信息。...就在这两个时间点之间,我们发现了NanHaiShu木马的两起攻击事件: (1)在菲方截止日期过后,菲方代理律师事务所收到一封以公司为名义的包含恶意附件的电子邮件; (2)在2015年5月22日,一封针对菲方律师的鱼叉式钓鱼邮件被发现...技术分析 (1)感染过程 Nanhaishu木马被捆绑到鱼叉式邮件附件中通过电子邮件发送,使用社会工程邮件文本内容,吸引用户打开恶意附件。 附件通常是包含了恶意宏程序的XLS或DOC文档。...虽然在微软office程序安全设置中,宏自动运行功能是被禁用的,但即使如此,宏运行功能仍然可能被用户执行。
VBA是一种面向对象的解释性语言,通常使用来实现Excel中没有提供的功能、编写自定义函数、实现自动化功能等。...有许多不同的方式来创作、格式化和操作文档、电子邮件、数据库、表单、电子表格和演示文稿。...事实上,重复性任务的自动化是 VBA 在 Office 中最常见的用途之一。...除了编写 VBA 脚本以加速日常任务的强大功能之外,您还可以使用 VBA 向 Office 应用程序添加新功能,或者以特定于您的业务需求的方式提示您的文档用户并与之交互。...例如,您可以编写一些 VBA 代码,显示一条弹出消息,提醒用户在他们第一次尝试保存文档时将其保存到特定的网络驱动器。
社区和某些搜索引擎优化软件中使用 宏病毒会依靠特定的应用程序工作,并且通常会攻击使用Microsoft程序的Windows或Mac计算机,但是除了Microsoft其他软件程序也会被操作 如果被攻击了,...在感染NORMAL.DOT之前在Microsoft Word下打开受感染的文档时,该病毒将获得AutoOpen宏的控制权,并感染选定的全局默认模板通常为NORMAL.DOT 之后使用File | SaveAS...如果在感染之前存在任何宏,它们将被覆盖 宏其实是一种节省时间的好方法,可以节省可预测的任务。...它通常会尝试感染更多的计算机 宏病毒可以破坏数据,创建新文件,移动文本,格式化硬盘驱动器,发送文件和插入图片,有时候会出现缺少菜单项或者是出现密码,如果有这些情况就要考虑是不是宏病毒引发的 如果操作某些感染了宏病毒的文件...,我们可以使用恶意软件清除工具进行程序检测并清除宏病毒 并且在使用电脑时中不要立即打开电子邮件或电子邮件附件,并且保持防病毒软件的更新。
恶意表格文件由EPPlus编译 这些恶意Excel文件也是“出身不凡”,它们并不是在常规的Microsoft Office软件中编译的,而是在带有EPPlus的.NET库中编译的。...该库还将创建OOXML文件,而无需编译VBA代码和Office元数据。”安全研究团队在报告中写到。...Epic Manchego生成的OOXML电子表格文件缺少一部分已编译的VBA代码,该代码专门用于在Microsoft专有Office软件中编译的Excel文档。...下载的恶意程序大多是那些经典的窃密木马,比如Azorult、AgentTesla、Formbook、Matiex、和njRat,这些木马程序可以将用户浏览器、电子邮件和FTP客户端的密码转储,并将这些发送到...修复建议 过滤电子邮件附件和从组织外部发送的电子邮件; 实施功能强大的端点检测和响应防御; 增强网络钓鱼意识培训并执行网络钓鱼练习 ?
因此,它通常不会触发电子邮件网关或客户端防病毒软件来阻止攻击。...混淆机制分析 由于Microsoft Office会自动禁用宏功能,因此攻击者会试图用出现在Word文档中的消息欺骗目标用户以启用宏功能。...攻击者可以利用DDE和VBA来实现这个目标,而这两个功能是标准的微软工具随Windows系统提供。 DDE是一种在应用程序(如Excel和Word)之间传输数据的方法。...Word文档可以读取下载的.XLS文件中特定Excel单元格的内容,然后使用基于Word的VBA指令填充Excel文档。...在禁用信任访问后,恶意软件将创建并执行一个新的Excel VBA,然后触发Zloader的下载行为。
借此,Qbot 能够劫持受感染用户的合法电子邮件对话,然后利用这些被劫持的电子邮件发送垃圾信息,从而提高诱骗其他用户感染的几率。 Qbot 还支持其控制器连接到受害者的电脑,以实施未经授权的银行交易。...但是,安全研究人员近段时间又发现,因为一种名为Squirrelwaffle 恶意软件的兴起,Qbot木马活跃度再次上升。...据悉,Squirrelwaffle出现于2021年9月,主要是通过垃圾邮件活动进行传播,主要的语言是英语,但也会使用法语、德语、荷兰语、波兰语等发送电子邮件。...自出道后,该勒索软件表现出极强的感染性,其分发量也在9月底达到了峰值。...松鼠狼还使用VBA宏执行PowerShell命令,检索其有效负载并启动它。
标签:python,pandas,python-docx,pywin32 本文介绍如何使用python-docx自动化Word文档,以及如何使用win32com库发送电子邮件。...假设有一个存储在Excel文件(或数据库)中的客户信息列表,处理过程如下所示: 1.为每个客户端自动生成MS Word发票 2.将Word文档转换为PDF格式 3.使用MS Outlook App向客户发送带有自定义问候语的...创建发票 在Excel中的示例数据如下图所示。 注,上图数据只是示例,使用我自己的测试电子邮件地址。 现在,让我们为每个客户创建一张发票。...使用Outlook App自动发送电子邮件 接下来,我们将把发票发给我们的客户。win32com再次成为我们与OutlookApp交互的助手。...有关可以在Outlook中创建的其他可能对象,参见下表。 要添加附件,只需传入类似于代码第7行的文件位置。 似乎甚至不需要打开Outlook应用程序就可以使用Python发送电子邮件。
转变伊始 在2022年之前,Proofpoint观察到,网络犯罪分子非常青睐宏作为初始访问有效载荷。当用户在office应用程序中主动启用宏时,威胁参与者便会使用VBAmacros自动运行恶意内容。...XL4宏是特定于Excel应用程序的,但也可以被威胁行为者武器化。 根据proofpoint的数据显示,在2021年,有近700个活动使用了VBA宏,XL4宏活动的数量几乎相同。...HTML Smuggling技术在HTML附件中“挟带”编码脚本。当HTML附件被打开时,web浏览器会解码用于在受害者计算机上组装恶意软件有效载荷的恶意脚本。...在2022年6月之前,TA570几乎只在活动中使用VBA宏和XL4宏来传递恶意软件有效载荷,通常是Qbot,但也不太常见。...案例研究:TA558 在自2019年以来一直使用VBA宏之后,TA558(一个针对酒店和旅游组织的小型犯罪威胁参与者)在2022年底转而使用CHM和HTML smuggling。
如你在第1课中所见,Excel应用程序由提供程序功能的对象组成。由于这些对象是“公开的”(即可以从外部进行操作),因此可以通过VBA代码控制它们以创建自定义程序。...如果省略,则Excel会自动添加它。如果你不希望工作簿保存在Excel的默认数据文件夹中,则名称还可以包括驱动器和/或路径信息。...然而,对ThisWorkbook的需求可能并不明确,在许多情况下,正在执行的VBA代码位于该代码所操纵的同一工作簿中,因此不需要ThisWorkbook。...通过电子邮件发送工作簿 使用Workbook对象的SendMail方法,你可以通过电子邮件将工作簿发送给一个或多个收件人。使用系统上安装的任何电子邮件系统,将工作簿作为电子邮件的附件发送。...Nothing的实用性 在某些情况下,对象变量不引用任何对象:它不引用任何内容,并且VBA具有特殊关键字Nothing来表示此对象。
Outlook上有不少邮件,用VBA写个脚本,通过批量转发邮件, 把邮件备份到GMAIL上。...这个对话框的内容是,“有一个程序正试图以您的名义自动发送电子邮件。是否允许该操作?如果对此感觉意外,这可能是由于病毒导致,您应选择'否'”。
,如打开Word程序(AutoExec) 宏病毒的传播路线如下: 单机:单个Office文档 => Office文档模板 => 多个Office文档(文档到模块感染) 网络:电子邮件居多 首先Office...当模板被感染之后,系统中任何一个文档被打开,都会执行模板中的病毒,宏病毒进行传播 宏病毒的感染方案就是让宏在这两类文件之间互相感染,即数据文档、文档模板 宏病毒也可以通过网络进行传播,譬如电子邮件 0x02...该工具重用了部分Kavod.VBA.Compression代码来实现压缩算法,并且使用了Mono C#编译器实现了在Linux、macOS和Windows平台上的完美运行。...VBA stomping VBA 在 Office 文档中可以以下面三种形式存在 1、源代码: 宏模块的原始源代码被压缩,并存储在模块流的末尾。...通过信息收集得知目标的 Office 版本,利用 VBA stomping 使宏被特定版本的 Office 打开时才会执行恶意行为宏代码,除此之外的 Office 版本打开时执行正常宏代码 ?
当VBA处于中断模式时,你可以执行其他调试操作,如以下各节所述。当VBA在断点处停止时,该行以黄色突出显示。 VBA在执行包含断点的行之前停止。...如果你已经确定bug不是由某个特定程序引起的,使用“逐过程”来执行该程序代码,并在完成后暂停。如果你认为已找到该bug并希望更正代码以对其进行修复,使用“重新设置”结束该程序。...VisualBasic在“监视”窗口中显示表达式值(定义监视表达式时,此窗口会自动打开)。每当程序进入中断模式时,显示的值都会更新。 可以指定每当表达式的值更改时,程序就进入中断模式。...图24-2:“添加监视”对话框 接着,按照下列步骤操作: 1.在“表达式”框中输入监视表达式。如果光标位于变量或属性名称上,或者你已在代码中选择了表达式,则将在此处自动输入。...如果你的应用程序是在小型办公室内部使用的,则分发可能仅包括使工作簿文件在服务器上可用以及向同事发送电子邮件。
2.安装配置 这时需要下载VBA for WPS并安装才能使用(下载地址为第19篇)。...Disable或者删除特定菜单项 用来使“工具—宏”菜单失效的语句 CommandBars(“Tools”).Controls(16).Enabled = False (3) 隐藏宏的真实病毒代码 在“...通过Word VB编写脚本,设置文档打开时运行,利用CDO发送电子邮件将文件的路径和名字发送到指定邮箱中。...具体步骤如下: 1) 利用AutoOpen执行并打开文档时运行 2) 利用WordObj.ActiveDocument获取文件信息 3) 利用CDO实现电子邮件实现信息传递 注意,千万别小瞧这个功能,如果是一封钓鱼邮件或运行宏病毒自动采集个人电脑信息发送至指定邮件...(3) 如果wps报429 ActiveX不能创建对象 ,则解决方法参考: https://www.cnblogs.com/pyman/p/7918484.html 五.案例:QQ发送信息 接着通过QQ
与 Visual Basic for Applications (VBA) 等其他脚本接口相比,此功能使用户能够更强大地扩展 Excel 的功能,因为它支持更多功能,例如多线程。...在我们看到的活动中,带有恶意 XLL 附件或链接的电子邮件被发送给用户。双击附件打开 Microsoft Excel,提示用户安装并激活加载项。 图 1 – 打开 XLL 文件时向用户显示的提示。...使这种技术变得危险的是,只需单击一下即可运行恶意软件,这与需要用户禁用 Microsoft Office 的受保护视图并启用宏内容的 VBA 宏不同。...但是,XLL 文件是可移植的可执行文件,遵循许多电子邮件网关已经阻止的动态链接库 (DLL) 的格式。我们建议组织考虑以下缓解措施: 配置您的电子邮件网关以阻止包含 XLL 附件的入站电子邮件。...使用 Excel-DNA 项目创建的 XLL 文件也可以使用项目提供的脚本自动解压缩。该脚本将 XLL 文件的路径作为参数,然后提取、解压缩并将资源保存到文件夹中。
安装:WinZip Pro 9 for Mac(专业zip压缩解压工具) zip压缩工具Mac版功能亮点 压缩文件以节省空间并发送更快的电子邮件 压缩文件可节省宝贵的存储空间,减少文件上载/下载时间,...并使您可以发送更快,更高效的电子邮件。...– 通过压缩存储在云中的文件来最大化云存储。 – 轻松地组织和重命名云中的文件和文件夹。 – 使用Cloud Links将文件上传到您的云服务,并通过电子邮件快速发送文件的链接。...– 使用内置的MAIl工具直接从WinZip窗口发送Zip文件。 – 在将文件压缩并发送给Windows和Linux用户时,可以选择包含或省略特定于Mac的隐藏文件。...– 在压缩文件时密码保护文件和电子邮件附件。 – 将其他加密文件添加到Zip时重新使用您的密码。 – 将密码应用于Zip文件中的特定文件,以防止不必要的访问。
与 VBA 等其他接口相比,该方式能够更有效地扩展 Excel 的能力,使其支持更多功能,例如多线程。现在,攻击者也滥用这项技术来达成自己的恶意目标。...攻击者将带有恶意 XLL 附件或者恶意链接的电子邮件发送给用户,受害者点击附件打开 Microsoft Excel 后会提示其安装并激活加载项。...这意味着,与要求用户启用宏的 VBA 宏不同,受害者只要打开就会执行恶意代码。 由于 XLL 是可移植的可执行文件,许多电子邮件网关都会拦截该格式的文件或者仅允许受信任签名的加载项。...△ .NET 文件代码 使用 Excel-DNA 项目创建的 XLL 文件也可以使用项目提供的脚本自动解压缩,该脚本将 XLL 文件的路径作为参数,然后提取、解压缩并将资源保存到文件夹中。...数据在循环中解密,首先确定数据的位置与大小,紧接着进行异或解密。每处理八个字节,密钥就要对用改变。
VBA是Microsoft开发的一种宏语言,旨在通过编写代码自动执行Office应用程序中的重复性任务。通过VBA,用户可以创建自定义函数、自动化数据输入、生成报告等。...虽然Python在自动化领域的地位是毋庸置疑的,但是在特殊场景下只能使用VBA,尤其是对网络环境要求很严格的场合。...以下是学习VBA的一些主要优势:自动化任务:通过编写宏来自动执行常见任务,从而节省时间。提高准确性:减少手动操作,降低人为错误的可能性。定制解决方案:根据特定需求创建个性化功能和工具。...VBA的基本概念在深入学习VBA之前,了解一些基本概念是非常重要的。宏宏是由VBA代码组成的一系列命令,用于自动化执行特定任务。...VBA提供了多种调试工具,如:断点:在代码中特定行设置断点,暂停代码执行。即时窗口:在代码运行时查看和修改变量值。监视窗口:监视变量和表达式的值。
一旦开始键入公式,函数名就会出现在Excel的自动完成建议的列表中。然而,在动态数组Excel(Microsoft 365)和传统Excel(2019及更旧版本)中存在一些细微差别。...中,它的工作方式是:在第一个单元格中键入公式,按Enter键,公式将自动溢出到下面的单元格中。...要匹配不以特定文本开头的字符串,使用正则表达式,如^(?!lemons).*$。 要匹配不以特定文本结尾的字符串,在搜索模式中包含结尾字符串锚定:^((?!lemons).)*。...用于不区分大小写匹配的正则表达式 在经典正则表达式中,有一种特殊的不区分大小写的匹配模式(?i),VBA RegExp不支持这种模式。...在A2中输入模式,并使用公式: =RegExpMatch(A5, A2, FALSE) 图8 正则表达式以匹配有效的电子邮件地址 众所周知,电子邮件地址由4部分组成:用户名、@符号、域名(邮件服务器
领取专属 10元无门槛券
手把手带您无忧上云
云服务器
ICP备案
实时音视频
即时通信 IM
对象存储
