关于WORD宏:
在百度百科上有:
宏是一个批量处理程序命令,正确地运用它可以提高工作效率。微软的office软件允许用户自己编写,叫VBA的脚本来增加其灵活性,进一步扩充它的能力。如完打开word文件同时要打开某个文件的功能,必须要自己编写一段称之为宏的脚本。具体做法是在“工具”菜单“宏”-“宏”弹出的对话框输入宏名,然后按“创建”按钮会打开visual basic编辑器,你就可以编程了,这个就是宏。学会它会有很多乐趣的。玩过街机模拟器的人肯定有体会,在格斗游戏中,用模拟器来录制宏,以实现一键放绝招。
简单来说WORD宏可以让用户编写VBA脚本来灵活操作WORD,是Office软件设计者为了让人们使用软件进行工作时,避免一再重复相同的动作,而设计出来的一种工具。
宏病毒使用攻击场景:
宏病毒是一种常见的计算机病毒,寄存在文档或模板中,并不会直接感染可执行程序。但是打开携带宏病毒的文档,其中的命令就会被执行,导致文档所在电脑主机被感染。
攻击者编写存在WORD宏病毒的WORD文件 -> 利用社会工程学投递WORD并令对方打开点击启用宏 -> 目标上线
关于如何投递宏文件让目标点击,此涉及到社会工程学。如结合一些时事来进行定向钓鱼攻击,比如结合新冠疫情,健康信息等内容的二次交互,导致目标启用宏感染。
CS生成宏病毒
1. 设置监听器
2. 生成宏代码
点击如下
会弹出一个框,详细的列出了如何使用宏的步骤,点击复制宏代码
(1)打开一个空的word或者Excel,在菜单栏选择视图-→>宏→查看宏,
(2)在"宏名"中输入一个名字(任意名字都可以),宏的位置选择最后一个,即当前文档。再点击创建
(3)点击创建后,会打开一个会打开visual basic编辑器。清空编辑器内容,再将cs中复制的宏代码粘贴过去
(4)保存宏文档
点击左上角的保存,然后保存格式设置为启用宏的word文档。一个Word宏病毒文件就做好了。
4. 运行宏文档
将宏文档发给受害者,受害者将其打开。(使用快捷键Alt+F11可以打开vb编辑器,查看宏代码。)若点击了启用内容
主机将上线
查看任务管理器,可以发现恶意进程
参考:CobaltStrike 生成office宏病毒
