这篇文主要介绍在 Microsoft Office 2019 尝试并且测试成功的手法为主,因为微软在对付钓鱼攻击这方面也是有很多更新,所以有些在旧版本可行的攻击手法在新版本可能会变得无法使用
钓鱼(Phishing)
一般听到钓鱼,可能第一个联想到的是钓鱼网站,诱导使用者到被伪造的网站窃取帐号密码。Office 的钓鱼其实也是差不多的概念,诱骗使用者给予权限或允许一些功能导致恶意指令的执行。
一般人听黑客入侵,也许会觉得防毒软体不给力;有安全概念的人会知道可能是什麼 0-day, 1-day, ... 等等漏洞。但是其实社交工程也是一个很大的威胁,从基层人员下手,取得低权限的帐户后再进行提权。
比较常见到的案例是有人想要下载盗版软体,然后从不知名网站下载压缩文件,结果执行后就中毒了。还有电子邮件收到文档,没有确认过来源就直接下载执行。
这对攻击方来说简单好用,用户不小心点击了就会被一击而破
Office钓鱼手法
宏(Macro)
介绍
根据微软的介绍,宏是可以用来将重复性作业自动化的一系列命令,且可以在需要进行该作业时执行。虽然宏很方便,但是也容易被恶意代码滥用。
VBA Macro
建立一個 word(.docx) 文件,按下 Alt+F11 會進入 Macro Editor。
在ThisDocument中入以下代码。其中 Document_Open 是一個事件,会在文件被打开时触发。Shell 是创建进程,参数为路径。
Private Sub Document_Open()
a = Shell("C:\Windows\System32\calc.exe")
End Sub
保存要存成 docm 类型,这才支持 Macro 语法。
文档打开后会出现宏已被禁用,因为预设是不启用的。所以如果有個麻瓜不知道这按下去可能会执行某个程序那么就弹出计算器了。
Excel 4.0 Macro
这是比较旧的宏,在 1992 年 Excel 4.0 出现的功能,不过现在还是可以使用,它跟 Excel 5.0 的 VBA Macro 差了不少,这边也介绍它的玩法。
打开 Excel(.xlsx),在左下角工作表按右键=> 插入。
选择MS Excel 4.0 宏表。
在坐标栏位输入 Auto_Open,代表打开后自动执行。EXEC 和 HALT 则分別代表执行和结束Macro。
最后存成 xlsm文档,否则不能使用宏。
超链接
超链接功能是链接到外部资源,但是也可以被恶意用來链接到钓鱼网站或是本机的文档。
按下插入 => 链接,网址的部分可以选择本机文档或是钓鱼网站的链接,显示的文字可以用来误导使用者。
如果沒仔细看就会就不小心按了确认程序就会被执行或者是链接到钓鱼网站了。
防范方法
现在很多企业的防护设备都直接把有带宏的附件转丢给沙箱,但是为了规避静态和动态检测,钓鱼邮件中的附件往往采用了压缩包加密的方法,在压缩包进行简单密码加密就可以比较轻松地绕过大部分静态以及动态的检测