揭祕如何使用跨平臺的EvilClippy建立惡意MS Office文件
*嚴正宣告:本文僅限於技術討論與分享,嚴禁用於非法途徑。
今天給大家介紹的是一款名叫EvilClippy的開源工具,EvilClippy是一款專用於建立惡意MS Office測試文件的跨平臺安全工具,它可以隱藏VBA巨集和VBA程式碼,並且可以對巨集程式碼進行混淆處理以增加巨集分析工具的分析難度。當前版本的EvilClippy支援在Linux、macOS和Windows平臺上執行,實現了跨平臺特性。
功能介紹
1、 在GUI編輯器中隱藏VBA巨集;
2、 混淆安全分析工具;
3、 VBA Stomping;
4、 引入VBA P-Code偽編碼;
5、 設定遠端VBA專案鎖定保護機制;
6、 通過HTTP提供VBA Stomped模板;
工具效果
目前,該工具生成的預設Cobalt Strike巨集可以繞過所有主流的反病毒產品以及巨集分析工具。
技術分析
EvilClippy使用了 OpenMCDF庫 來修改MS Office的CFBF檔案,並利用了 MS-OVBA規範 和特性。該工具重用了部分 Kavod.VBA.Compression 程式碼來實現壓縮演算法,並且使用了Mono C#編譯器實現了在Linux、macOS和Windows平臺上的完美執行。
工具安裝
注:跨平臺編譯程式碼可以在該專案的releases頁面下獲取。
macOS和Linux
確保安裝了Mono,然後執行下列命令:
mcs/reference:OpenMcdf.dll,System.IO.Compression.FileSystem.dll/out:EvilClippy.exe *.cs
然後執行EvilClippy:
mono EvilClippy.exe –h
Windows
確保安裝了Visual Studio,然後在Visual Studio開發者命令列視窗中輸入下列命令:
csc/reference:OpenMcdf.dll,System.IO.Compression.FileSystem.dll/out:EvilClippy.exe *.cs
然後在命令列中執行EvilClippy:
EvilClippy.exe –h
工具使用
顯示幫助資訊
EvilClippy.exe –h
在GUI中隱藏巨集
EvilClippy.exe -g macrofile.doc
VBA Stomp(P-Code偽編碼)
EvilClippy.exe -s fakecode.vba macrofile.doc
為VBA Stomping設定目標Office版本資訊
EvilClippy.exe -s fakecode.vba -t 2016x86 macrofile.doc
設定隨機模組名(混淆安全分析工具)
EvilClippy.exe -r macrofile.doc
通過HTTP提供VBA Stomp模板;
EvilClippy.exe -s fakecode.vba -w 8080 macrofile.dot
設定遠端VBA專案鎖定保護
EvilClippy.exe -u macrofile.doc
解除保護:
EvilClippy.exe -uu macrofile.doc
專案地址
EvilClippy:【 GitHub傳送門 】
參考資料
1、 https://outflank.nl/blog/2018/10/28/recordings-of-our-derbycon-and-brucon-presentations/
3、 https://github.com/bontchev/pcodedmp
* 參考來源: outflanknl ,FB小編Alpha_h4ck編譯,轉載請註明來自FreeBuf.COM