宏病毒中常用的自动执行方法有两种:一种是用户执行某种操作时自动执行的宏,如Subbotton(),当用户单击文档中的按钮控件时,宏自动执行;另一种则是Auto自动执行,如SubAutoOpen()和Sub...宏病毒采取的隐蔽执行的一些措施: 代码 措施 On Error Resume Next 如果发生错误,不弹出错误对话框 Application.DisplayStatusBar = False 不显示状态栏...,许多宏病毒使用CallByName执行危险函数 | Powershell | 可以执行脚本,运行.exe文件,可以执行base64的命令 | Winmgmts | WinMgmt.exe是Windows...https://myzxcg.github.io/20180921.html 简单示例:使用Excel 4.0宏执行ShellCode 新建一个xls文件。 创建一个新的Excel工作簿。...生成vba代码: word操作 点击上方标签视图标签,在该标签中点击宏按钮,弹出的对话框中输入宏名字,然后单击创建按钮。
Visual Basic for Applications(VBA)是Visual Basic的一种宏语言,是微软开发出来在其桌面应用程序中执行通用的自动化(OLE)任务的编程语言。...常用的套路使对方开启宏, 文档是被保护状态,需要启用宏才能查看; 添加一张模糊的图片,提示需要启用宏才能查看高清图片; 提示要查看文档,按给出的一系列步骤操作; 贴一张某杀毒软件的Logo图片,暗示文档被安全软件保护...没做任何处理之前,VT查杀 39/61 从GUI隐藏/取消隐藏宏VT查杀 37/60 在VBA GUI编辑器中隐藏所有宏模块(默认的“ ThisDocument”模块除外)。...,可以在不启用宏的情况下执行任意程序。...当受害者双击打开时,默认会用Excel打开,弹出警告,点击启用 因为前面的iqy文件是用cmd执行的,所以会继续询问是否启动另一个应用程序,CMD.EXE.
这就是调用 AMSI API 的地方。 AMSI 的工作原理 当用户执行脚本或启动 PowerShell 时,AMSI.dll 被注入进程内存空间。...如果识别出已知特征,则不会启动执行,并且会显示一条消息,表明脚本已被防病毒软件阻止。下图说明了 AMSI 扫描的过程。 ?...在 PowerShell 命令提示符中,任何提供的内容将首先发送到 AmsiScanBuffer(),然后再执行。...简单来说就是: 记录宏行为>>触发对可疑行为的扫描>>在检测到恶意宏时停止 查杀过程 记录宏行为 我们知道VBA 语言为宏提供了一组丰富的函数,可用于与操作系统交互以运行命令、访问文件系统等。...在涵盖攻击链各个阶段的操作(例如,有效载荷下载、持久性、执行等都会检测高风险函数或触发器的列表,并根据它们在恶意和良性宏中的普遍性进行选择。
开搞 本次使用的是office套装的宏进行本地写vbs文件的做法进行上线。...Vbs是Windows上的可执行文件,可以直接运行Windows的操作命令,但是vbs在渗透测试或者钓鱼中有个比较大的缺点,就是代码明文。...工具特点: 本次使用的是VBS调用powershell执行命令的方式进行上线,程序执行成功后会在系统内存运行,不产生exe等可执行文件后台进程,减少被查杀的风险;而且当excel程序被受害者关闭后,仍然可以正常上线...,无需要excel进程一直后台启动。...文件的使用很简单,3vilMacro.exe [你刚刚复制的powershell脚本链接]。3秒钟后会在本路径下生成一个sourceVba.txt的文件。文件里面的内容就是加密后的VBA脚本 ?
本文将简单介绍使用宏代码进行钓鱼的方法,并使其可以回连到CobaltStrike. CobaltStrike.自带有宏钓鱼功能。...本例采用powershell上线的方法,进行宏攻击,我们可以参考已经公开的代码(https://github.com/enigma0x3/Powershell-Payload-Excel-Delivery.../blob/master/MacroCode),即使用wmi来启动进程,来编写我们的宏代码 然后进行删减,得到如下宏代码,其实也只是删除了其中的计划任务部分而已。...写在后面 在实战中,此类调用powershell的方法肯定不是最好的选择,这里也只是提供一个思路,比如某60套装,就已经把powershell限制的很死了,导致无法正常的使用其进行上线操作,在接下来的文章中...参考文章:https://github.com/enigma0x3/Powershell-Payload-Excel-Delivery
铺垫的够多了,我们还是切入正题吧。 Excel中的「宏」到底是什么? 好用吗? Excel中的「宏」,实际上是类似于Excel操作步骤记录器(或者叫复读机)的东西。例如,图1中的一张员工名单。...如果想把它拷贝到其他地方,通常的操作是【选择拷贝的范围】-【复制粘贴到其他单元格】。 图1 向其他单元格内拷贝粘贴数据 像上图这样的少量数据,直接拷贝是没任何负担的。...单击[开发工具]选项卡中的[宏],会显示所有已存在的宏。(图10)。 图10 在图10的画面中,单击[编辑],将会启动VBE并显示宏的内容。...为了更快地操作,我们可以采用如下几种方法: 「设置快速访问工具栏」, 「设置快捷键法」 「制作Sheet页上执行宏的按钮」 本章,我们只介绍「设置快速访问工具栏」法和「制作执行宏的按钮」这两种方法。...(图18) 图18 在工作簿上创建按钮来执行宏 下面我们来说明一下如何通过按钮来执行宏。 Excel支持在工作簿上创建一个图形来作为按钮,并把它分配给宏作为启动器的方式。
3、ExeCodes: 当 P-Code 执行一次之后,其会被一种标记化的形式存储在 __SRP__ 流中,之后再次运行时会提高 VBA 的执行速度,可以将其删除,并不影响宏的执行。...通过信息收集得知目标的 Office 版本,利用 VBA stomping 使宏被特定版本的 Office 打开时才会执行恶意行为宏代码,除此之外的 Office 版本打开时执行正常宏代码 目前 VBA...VBA 编辑器 ? 与原来的文档没有任何区别,接下来使用 Office2013(64 位)打开 ? VBA 编辑器 ?...在 VBA 编辑器中,NewMacros 已经消失了,宏正常执行 ?...当启动 word 时,会启动 excel 并弹出 excel 旧版宏警告,点击禁用宏后还会启动第二个 excel,一共启动五次,用户体验极差,当 excel 处理完成之后才会弹出 Word 文档 ?
使用VBA选项来静默派生一个MicrosoftExcel实例并运行一个恶意的宏来将payload注入到内存中。...executable(生成可执行攻击脚本) powershell(生成一个powershell的脚本) VBA(生成一个vba的脚本,使用mshta命令执行) 这里借鉴一个网上的方法,生成一个powershell...2、MS Office Macro 该程序包生成一个MicrosoftOffice的宏文件并提供将宏嵌入Microsoft Word或Microsoft Excel的说明。...也就是说,普通的EXE和服务器启动调用的EXE是有区别是。...(心跳时间) Exit #退出 interact打开beacon后执行的操作: 1. argue 进程参数欺骗 2. blockdlls 阻⽌⼦进程加载⾮Microsoft DLL 3. browserpivot
微软项目经理 Naveen Shankar表示:多年来,技术不断进步,出现了 JavaScript 和 PowerShell 等功能更强大、用途更广泛的脚本语言。...这些语言提供了更广泛的功能,也更适合现代网络开发和自动化任务。 因此,在2024年下半年发布的新操作系统中,VBScript 将以按需提供功能(FOD)的形式提供。...随着微软向更高效的 PowerShell 体验过渡,该功能将从未来的 Windows 操作系统版本中完全「退役」。...微软的这个战略最早可以追溯到 2018 年,当时雷德蒙德将对其反恶意软件扫描接口(AMSI)的支持扩展到了 Office 365 客户端应用程序,从而遏制了利用 Office VBA 宏的攻击。...从那时起,微软就禁用了Excel 4.0 (XLM)宏,强制默认阻止VBA Office宏,引入XLM宏保护,并开始在全球Microsoft 365租户中默认阻止不受信任的XLL插件 https://www.bleepingcomputer.com
经常给大家推荐好用的数据分析工具,也收到了铁子们的各种好评。这次也不例外,我要再推荐一个,而且是个爆款神器。...使用pip安装pyxll-jupyter软件包: pip install pyxll-jupyter 安装完毕后,启动Excel,将在PyXLL选项卡中看到一个新的Jupyter按钮。 ?...同样,使用魔法函数%xl_plot在Excel中可以绘制任何的Python图。任何一个受支持的可视化包也可进行绘图然后传递图形对象到Excel中,比如上图中使用pandas的绘图效果就很好。...https://www.pyxll.com/docs/userguide/vba.html Jupyter Notebook在Excel中运行,整个Excel对象都可用,所有操作就像在VBA编辑器中编写...弄清楚如何使用Excel对象模型进行操作的一种好方法是记录VBA宏,然后将该宏转换为Python。 下图中尝试将当前选择单元格更改颜色。 ?
Microsoft Office 是 Windows 操作系统中使用最多的产品,用来完成每日的工作,比如 HR 筛选简历、销售人员编写标书、汇报工作编写演示文稿等。...如果恶意宏嵌入到基础模板中,用户在每次启动 Office 软件时,都执行一下恶意的宏代码,可以使用 PowerShell Empire 中的模块生成宏代码: usestager windows/macro...生成的宏可以直接插入到模板文档中,对代码进行混淆可以绕过一些防病毒的检测: ? 当用户打开模板文件时,执行 Office 宏代码,可以看到目标连接的 Session: ?...下次 Word 启动时,将加载加载 DLL 程序,并执行恶意文件: ? 还有个 Powershell 版本的脚本,可以生成相关文件(WLL、XLL、VBA)。...并将这些文件复制到 Word、Excel 或 PowerPoint 的启动文件夹中: 下载地址: https://github.com/3gstudent/Office-Persistence 使用方法
接下来,嵌入Word文档中的基于VBA的指令会读取精心构建的Excel电子表格单元以创建宏。这个宏将使用附加的VBA宏填充同一XLS文档中的附加单元格,从而禁用Office的安全防御功能。...在这种情况下,与VBA的其他滥用案例一样,Zloader也会利用这种功能来创建恶意宏脚本。 Excel将记录用户执行的所有步骤,并将其保存为一个名为“process”的宏。...当用户停止操作之后,这个宏将会被保存下来,并且会被分配给一个按钮,当用户点击这个按钮时,它会再次运行完全相同的过程。...一旦Excel宏被创建并准备好执行,脚本将修改Windows的注册表键以禁用受害者计算机上VBA的信任访问。这使得脚本能够无缝地执行功能,而不会弹出任何的警告。...在禁用信任访问后,恶意软件将创建并执行一个新的Excel VBA,然后触发Zloader的下载行为。
系列文章 "替代Excel Vba"系列(一):用Python的pandas快速汇总 "Python替代Excel Vba"系列(二):pandas分组统计与操作Excel "Python替代...Excel Vba"系列(三):pandas处理不规范数据 Python替代Excel Vba"系列(四):课程表分析与动态可视化图表 前言 有小伙伴向我反映到,本系列前面的章节主要还是在讲 pandas...其他的语句是为了防止没有输入任何查询的情况。 ---- ---- 然后再定义一个做汇总的方法。...执行以下语句,即会生成一个 py 文件和一个 带宏的 excel 文件。...其他就不细说了,会 vba 的小伙伴应该一看就懂。 ---- ---- 最后 你发现这样做的一个好处是,无需重复启动 Python ,因为每次启动 Python 都需要不少时间(大概2、3秒的样子)。
学习PowerShell最不怕学习资料少 相对Excel用户群体有录制宏的方式来学习VBA,在PowerShell的学习上,其实也是非常容易的,有时甚至比学习VBA更简单,在入门的角度来看。...最后遍历的所有文件、文件夹清单就出来了,一条命令执行一件事情,PowerShell就是这么简单。...,如果创建100个用户呢,毫无疑问,是我们用PowerShell的代码来创建最快,我们可以在Excel上用公式生成一批用户命令,批量执行多条命令实现批量操作。...懂Excel字符串拼接函数就可以做出以下的多条命令来。此种方式甚至不需要学会编程语言中的循环结构的使用,利用Excel的函数向下填充功能,就可以做到我们编程中的循环操作的结果。...作为一个数据化时代,对办公人员的要求越来越高,非专业码农入手一门编程语言,可以在许多场景上都可以不求于人实现很多自动化操作,PowerShell是一个不错的选择,良心推荐。
本文将浅析GadgetToJScript的反序列化原理与在VBA中的利用。...首先我们来看一下VBA中常见的执行方式 WScript.Shell: CreateObject("WScript.Shell").Run "calc.exe" CreateObject("WScript.Shell...而在VBA中的被检测的列表已有大佬整理了出来: https://github.com/synacktiv/AMSI-Bypass ? ? 当然,DDE与excel 4.0是不受amsi所保护的。...静态可过windows defender ,执行可以弹框。然后放入宏中 ? 然后我们换成之前的COM 对象来启动进程,弹出notepad ?...但这已不是宏需要考虑的了,而是在powershell中amsi patch的问题了,在前方的代码中加入amsi patch,即可然过wdf对ps的检查,得到Cs的beacon。 ?
简化模板的使用. 4. 自定义EXCEL,使其成为开发平台. 5. 创建报表. 6. 对数据进行复杂的操作和分析. 用EXCEL作为开发平台有如下原因: 1....录制简单的宏 在介绍学习VBA之前,应该花几分钟录制一个宏。 新术语:”宏”,指一系列EXCEL能够执行的VBA语句。 以下将要录制的宏非常简单,只是改变单元格颜色。...执行宏 当执行一个宏时,EXCEL 按照宏语句执行的情况就像 VBA 代码在对 EXCEL 进行”遥控”。...但VBA 的”遥控”不仅能使操作变得简便,还能使你获得一些使用 EXCEL 标准命令所无法实现的功能。...而且,一旦熟悉了 EXCEL 的”遥控”,你都会奇怪自己在没有这些”遥控”的情况下,到底是怎么熬过来的。要执行刚才录制的宏,可以按以下步骤进行: 1、选择任何一个单元格,比如A3。
); 2.易用性好:PowerShell代码易于动态生成;同时,可以很容易地嵌入恶意软件向量中,例如Office文档(通过使用宏); 3.多功能性:可以对操作系统主要功能进行访问; 4....隐秘性强: (1)几乎没有留下可以追踪的痕迹,框架可以直接从内存中执行有效负载; (2)缺乏日志记录,PowerShell日志默认不能使用,通常不会在计算机上启动监视或扩展记录。...2.在执行完毕安装过程输入./empire启动Empire时,查看是否可以成功进入。 遇到问题:输入....例如,在污水攻击中,利用了宏与PowerShell构建了APT攻击,具体过程如下: (1)使用精心构造的钓鱼文档,诱使目标人员打开文档启用宏; (2)文档宏执行后,向文件系统写入脚本及编码过的PowerShell...我们以一个简单的例子对宏代码进行分析(样本文件附后[3]),这里启用宏后使用word中的开发功能VBA进行对宏代码的读取(也可使用oledump.py对宏代码进行提取)。
几十年来,VBG 宏代码都是攻击者的核心工具。但自从微软开始默认阻止来自互联网的 Office 文件的所有 VBA 宏,这一攻击途径受到了极大的压制。由于攻击面的减少,攻击者必须探索替代的攻击媒介。...VSTO 加载项可以与为其开发的特定 Office 应用程序(Word、Excel 等)相关联,并将在每次启动该应用程序时执行,从而顺带实现了持久化的能力。...全部文件 一旦受害者打开恶意文档,就会提示用户安装加载项,与之前使用 VBA 宏时引诱用户启用内容十分相似。...提示用户安装 加载隐藏的加载项 一旦用户允许安装,加载项将被执行: VSTO 安装提示 分析加载项,其中有经过编码和压缩的 PowerShell 代码: 核心代码 经过解码和解压缩后,可以看到该段代码为了从...C&C 服务器拉取另一段 PowerShell 代码: 实际 PowerShell 代码 远程 VSTO 远程的 VSTO 更加难以检测和预防,但攻击者需要考虑各种与信任有关的安全机制也导致了攻击更加复杂
有时候,我们可能想要从Python运行Excel VBA宏,特别是当想要运行已有的Excel宏时,这很有用——甚至可以在不打开Excel文件的情况下执行这些VBA宏。...VBA宏 下面是一个非常简单的Excel VBA宏,它接受一个参数,在工作表Sheet1的单元格B2中输入一条问候语。...当然,可以创建任何宏并使用Python运行它。...然后,打开这个包含VBA宏的Excel文件,并将其赋给变量wb。...如果VBA宏不接受任何参数,只需包括宏名而无须括号,例如: xl.Application.Run('pythonrunvba.xlsm!
感染链的多个阶段中在 RTF 文档中使用 OLE 对象,在 OLE 对象的 OOXML 中包含混淆的 VBA 代码,VBA 代码执行 Powershell 代码,最终释放 Agent Tesla 程序。...感染过程 鱼叉邮件附件 感染链从 RTF 文件开始,该文件作为鱼叉邮件的附件进行发送。受害者执行后会向用户连续显示 5 个启用宏的请求。...这五个请求时由 RTF 带有的 5 个嵌入式 OLE 对象产生的,每个对象都包含一个 OOXML。每个 OOXML 内部都含有一个 VBA 宏,当用户启用宏代码时,其中一个宏将会被执行。...实际上,诸如 oletools 和 oledump 之类的静态分析工具无助于提供有关 VBA 代码的任何详细信息。此外,使用 ViperMonkey 对 VBA 进行动态分析也并不成功。...一旦五个部分都成功运行,将开始执行生成的 Powershell 代码。 Powershell 执行 合并而来的 Powershell 代码是高度混淆的: ?
领取专属 10元无门槛券
手把手带您无忧上云