快捷搜索:  网络  后门  CVE  渗透  木马  扫描  黑客  as

Microsoft Access Macro (.MAM) 快捷方式钓鱼测试

客岁,我曾发表过一篇关于创建恶意.ACCDE(Microsoft Access数据库)文件,并将其作为攻击向量进行收集钓鱼的文章。作为扩大,本文将为人人引入一种新的钓鱼方案Microsoft Access Macro“MAM”快捷方式钓鱼。MAM文件是一个直接链接到Microsoft Access Macro的快捷方式(从Office 97最先)。

创建一个MAM文件

我们先来创建一个可以弹出内陆计算机的,简单Microsoft Access数据库来练练手。起首,我们关上MS Access并创建一个空数据库。以下:

1_HSUkf9qr2SpQlt1x.png

接着,找到Create ribbon并选择Module。这将为我们关上Microsoft Visual Basic for Applications design editor。

在Microsoft Access中,我们的module将包含我们的代码库,而macro将会使Access执行VB代码。

下列是我编写的一个简单的计算机弹出代码:

2_MEsimvkiNDrFA2Ue.png

请注意这里我是怎么样将Function调用添加到此代码中的。当我们创建宏时,它将寻觅function调用而不是sub。

现在,我们保存模块并退出代码编辑器。

3_fWXZeHWNjNwa1coU.png

模块保存后,我们可以创建宏来调用模块。关上Create ribbon并选择“macro”。 使用下拉框选择“Run Code”并指向你的宏函数。

4_eBvNz7Uxavtnc6zd.png

接下来,我们点击“Run”菜单选项来测试宏,Access将提示你保存宏。要是你希翼在关上文档时自动运行宏,请务势必宏保存为Autoexec。

5_dJxP4gLR_h-d27HP.png

保存项目,我们以.accdb格式保存,以便后续对该项目的修改操作。

6_KcH9O92Z7qmRPoty.png

然后,我们将再次保存我们的项目。这一次,我们选择Make ACCDE选项。这将为我们创建数据库的“execute only”版本。

7_sOafDTyz4suHS6Lk.png

888.png

我们可以将ACCDE作为钓鱼时的payload添加至邮件或链接之中。我们可以创建MAM快捷方式,它将遥程链接到我们的ACCDE文件并通过收集运行其中的内容。

确保ACCDE文件已关上,单击鼠标左键并将宏拖到桌面上。这将为我们创建一个可以修改的初始.MAM文件。用你喜好的编辑器或记事本关上它,看看我们有什么需要修改之处。

9_HD2ZKqc7GD_9xQKZ.png10_XQFDrsuDAbDfYOc2.png

正如你所看到的,快捷方式的属性并不久不多。唯一需要我们更改的就是DatabasePath变量,指定我们遥程托管地址路径。我们可以通过SMB或Web托管ACCDE文件。通过SMB托管可以完成两重目的,拿获凭证和允许端口445脱离目标收集。在本文中,我将通过http演示怎么样做到这一点。

钓鱼

在遥程主机上,使用首选的Web托管要领提供ACCDE文件。

11_tPxgST_pislvMTqJ.png

编辑.MAM文件以指向Web服务器上托管的ACCDE文件。

12_pT9uoc9AWLWtamPL.png

现在我们的义务是将MAM payload传送给我们的目标。一些提供商默认阻止MAM文件以及Outlook,因此在这类情形下,我们会向目标发送钓鱼链接,并且只会在我们的web服务器上托管我们的MAM文件,或者你也能够使用Apache mod_rewrite进行一些重定向操作,具体说明请点击这里。

一旦目标用户点击了我们的钓鱼链接(在使用Edge阅读器的情形下),体系将会提示他们关上或保存文件。

13_ZCQN8Ve8_8JprJR.png

接着,体系会再次向用户弹出安全正告提示框。

14_mkbHr67nPF32n7dK.png

最后,体系还会正告一次,并将向用户显示遥程托管主机的IP或域名(希翼会有说服力)。而在此以后将不会出现任何的安全正告,和阻止此macro payload运行的情形。

15_GdC88BxbdiMra-v5.png

用户单击“ Open”后,我们的代码就会被执行。

16.png

虽然这之中出现了好几次的安全提示,但对于毫无戒心的不知情用户而言,也很容易成功。此外,我们还可以结合一些社会工程学的技巧,以达到我们的终极目的。

OPSEC

渗透排泄测试的扫尾阶段,我们不能忘的一件事就是擦清洁可能遗留在目标体系上的痕迹。那么针对我们的这个payload在体系执行后,又会留下些什么蛛丝马迹呢?让我们通过procmon一探事实。

17_6bG2W1VN_UKX2Rif.png

第一个值得我们注意的条目是“CreateFile”调用,它执行上图所示命令。查找用于命令行审计的“ShellOpenMacro”字符串。

接下来,我们来观察下从内陆计算机保存并被执行的遥程ACCDE文件。虽然看起来好像我们的payload是遥程调用的,但它却被下载到了“%APPDATA%\Local\Microsoft\Windows\INetCache\Content.MSO\95E62AFE.accde\PopCalc.accde”中。因此,一定要格外注意对该文件的清理。

18_umOwr04AEThzixcT.png

19_ZLW0cCmsk9WWokCh.png

缓解措施

在Microsoft Office 2016中,你可以启用GPO以阻止来自收集中的宏执行或为每一个办公产品配置下列注册表项。

Computer\HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Access\Security\blockcontentexecutionfrominternet = 1

20_VIFHAFijZuzM3Q9x.png

要是用户进行了此项配置后,钓鱼程序将会被拒尽执行。需要注意的是,工控黑客 ,即使宏被阻止了,MAM文件仍会向外pull down Access文件。所以,目标用户仍将会知道你是通过smb接收执行或窃取凭证的。

21_jNCk4oCV17GnWTvx.png

总结

本文我向人人铺示了,怎么样使用Microsoft Access Macro快捷方式进行钓鱼的要领以及步骤,和后续痕迹的查找以及清除还有缓解措施。希翼通过这篇文章,能为你提供一个好的钓鱼思路,和提高你们的安全防范意识。

 *参考来源:specterops, secist 编译,

您可能还会对下面的文章感兴趣: