【钓鱼攻防】浅谈制作免杀word文档钓鱼

当你跌入深渊退无可退的时候，眼前就只剩下向上这一条路了

前言

网络安全技术学习，承认⾃⼰的弱点不是丑事，只有对原理了然于⼼，才能突破更多的限制。

拥有快速学习能力的安全研究员，是不能有短板的，有的只能是大量的标准板和几块长板。

知识⾯，决定看到的攻击⾯有多⼴；知识链，决定发动的杀伤链有多深。

1、制作基本的word宏文件

Cobalt Strike生成宏代码

选择监听器

成功生成宏文件

新建word文档，点击视图——宏——查看宏

选择编辑

点击视图中的工程资源管理器

选择本文件中ThisDocument，将cs生成的文件复制到里面，选择Auto_Open不会提醒自动打开

打开文件后cs上线

2、宏免杀（EvilClippy的使用）

1.1 为什么钓鱼附件进不了收件箱

随着类似msf，Cobalt Strike等工具的出现，钓鱼邮件的制作成本大大降低了。但随之而来的问题也出现了，因为工具一般是写死的，无法定制化恶意执行代码，导致恶意代码的特征值很容易被抓取，会被发件服务器，收件邮件网关，本地杀毒等一系列防护设备或措施拦截。所以为了邮件能进收件箱，要搞清楚我们的钓鱼邮件在哪一个步骤挂掉了。一般常见的邮件流程如下：

邮件→邮件服务器→防毒→防垃圾→收件箱

1.2 如何进行免杀

要搞清楚我们的附件在什么环节被杀了，首先科普一下当下杀软的三种查杀方式：1.静态查杀 2.云查杀 3.行为查杀。邮件服务器为了可用性和隐私性一般只有静态查杀。所以我们只需要规避特征值绕过静态查杀就可以让钓鱼附件进入收件箱了。如何规避静态查杀？最好的办法当然是自己写恶意代码，但大部分云黑客都是脚本小子，这也没关系，现在github上也有很多免杀开源的脚本。这里以EvilClippy作为演示

编译成exe文件

1.3 EvilClippy的使用

下载EvilClippy脚本，并运行，这里我们用-s参数

-s参数是通过假的vba代码插入到模块中，用以混淆杀毒程序，这里我们需要写一个正常无毒的vba脚本

运行EvilClippy，会生成rdyx0_EvilClippy.doc文档

静态过360和火绒免杀

​

动态过360和火绒免杀

​

3、远程模板注入宏代码

打开word文档新建样本模板

选择黑领结简历，创建模板

内容如下

保存成rdyx0.docx文件

点击视图——宏——查看宏

创建宏

选择本文件中ThisDocument，将cs生成的文件复制到里面

保存文档，打开文档

测试可正常上线

运行EvilClippy，进行免杀生成rdyx0文档

可过360和火绒静态查杀

打开文档

可过360和火绒动态查杀

将后门宏文件rdyx0上传到公网服务器中

修改rdyx0.docx后缀为zip

将zip文件解压，进入/word/_rels目录下，打开settings.xml.rels宏文件，这段就是宏需要执行的代码！1

将该段代码修改为以下内容，意思就是执行开启宏后，会执行访问下载服务器上的宏文件并执行！

继续将文件修改zip为docx类型，修改后可看到就是rdyx0.docx

这里利用的是分离免杀的方法，里面的代码都是正常的，由于杀毒软件是静态查杀，所以无法查杀的！

打开文档

上线cs

4、word 中插入外部对象(OLE)方式欺骗

选择插入——对象

选择由文件创建，输入木马地址，更改图标，修改题注为执行程序

双击并点击运行生成的文件

cs上线

5、嵌入超链接

使用cs文件下载的功能或者其他方式

选择木马文件

构造成功

嵌入文档

操作后就会下载木马文件

网络安全感悟

网络安全是一个长期的过程，因为网络安全没有终点，不管是网络安全企业，还是在网络安全行业各种不同方向的从业人员，不管你选择哪个方向，只有在这条路上坚持不懈，才能在这条路上走的更远，走的更好，不然你肯定走不远，迟早会转行或者被淘汰，把时间全浪费掉。

如果你觉得自己是真的热爱网络安全这个行业，坚持走下去就可以了，不用去管别人，现在就是一个大浪淘金的时代，淘下去的是沙子，留下来的才是金子，正所谓，千淘万漉虽辛苦，吹尽狂沙始到金，网络安全的路还很长，坚持做好一件事！

攻防交流群

声明

文笔生疏，措辞浅薄，敬请各位大佬不吝赐教，万分感谢。

免责声明：由于传播或利用此文所提供的信息、技术或方法而造成的任何直接或间接的后果及损失，均由使用者本人负责， 文章作者不为此承担任何责任。

转载声明：平凡安全 拥有对此文章的修改和解释权，如欲转载或传播此文章，必须保证此文章的完整性，包括版权声明等全部内容。未经作者允许，不得任意修改或者增减此文章的内容，不得以任何方式将其用于商业目的。

CSDN: https://rdyx0.blog.csdn.net/ 公众号： https://mp.weixin.qq.com/mp/appmsgalbum?__biz=Mzg5NTU2NjA1Mw==&action=getalbum&album_id=1696286248027357190&scene=173&from_msgid=2247485408&from_itemidx=1&count=3&nolastread=1#wechat_redirect 博客: https://rdyx0.github.io/ 先知社区： https://xz.aliyun.com/u/37846 SecIN: https://www.sec-in.com/author/3097 FreeBuf： https://www.freebuf.com/author/%E5%9B%BD%E6%9C%8D%E6%9C%80%E5%BC%BA%E6%B8%97%E9%80%8F%E6%8E%8C%E6%8E%A7%E8%80%85