如何進(jìn)行Microsoft Access Macro MAM的快捷方式釣魚(yú)測(cè)試

這篇文章將為大家詳細(xì)講解有關(guān)如何進(jìn)行Microsoft Access Macro MAM的快捷方式釣魚(yú)測(cè)試，文章內(nèi)容質(zhì)量較高，因此小編分享給大家做個(gè)參考，希望大家閱讀完這篇文章后對(duì)相關(guān)知識(shí)有一定的了解。

下面將為大家引入一種新的釣魚(yú)方案Microsoft Access Macro“MAM”快捷方式釣魚(yú)。MAM文件是一個(gè)直接鏈接到Microsoft Access Macro的快捷方式（從Office 97開(kāi)始）。

創(chuàng)建一個(gè)MAM文件

我們先來(lái)創(chuàng)建一個(gè)可以彈出本地計(jì)算機(jī)的，簡(jiǎn)單Microsoft Access數(shù)據(jù)庫(kù)來(lái)練練手。首先，我們打開(kāi)MS Access并創(chuàng)建一個(gè)空數(shù)據(jù)庫(kù)。如下：

接著，找到Create ribbon并選擇Module。這將為我們打開(kāi)Microsoft Visual Basic for Applications design editor。

在Microsoft Access中，我們的module將包含我們的代碼庫(kù)，而macro將會(huì)使Access執(zhí)行VB代碼。

以下是我編寫的一個(gè)簡(jiǎn)單的計(jì)算機(jī)彈出代碼：

請(qǐng)注意這里我是如何將Function調(diào)用添加到此代碼中的。當(dāng)我們創(chuàng)建宏時(shí)，它將尋找function調(diào)用而不是sub。

現(xiàn)在，我們保存模塊并退出代碼編輯器。

模塊保存后，我們可以創(chuàng)建宏來(lái)調(diào)用模塊。打開(kāi)Create ribbon并選擇“macro”。 使用下拉框選擇“Run Code”并指向你的宏函數(shù)。

接下來(lái)，我們點(diǎn)擊“Run”菜單選項(xiàng)來(lái)測(cè)試宏，Access將提示你保存宏。如果你希望在打開(kāi)文檔時(shí)自動(dòng)運(yùn)行宏，請(qǐng)務(wù)必將宏保存為Autoexec。

保存項(xiàng)目，我們以.accdb格式保存，以便后續(xù)對(duì)該項(xiàng)目的修改操作。

然后，我們將再次保存我們的項(xiàng)目。這一次，我們選擇Make ACCDE選項(xiàng)。這將為我們創(chuàng)建數(shù)據(jù)庫(kù)的“execute only”版本。

我們可以將ACCDE作為釣魚(yú)時(shí)的payload添加至郵件或鏈接當(dāng)中。我們可以創(chuàng)建MAM快捷方式，它將遠(yuǎn)程鏈接到我們的ACCDE文件并通過(guò)網(wǎng)絡(luò)運(yùn)行其中的內(nèi)容。

確保ACCDE文件已打開(kāi)，單擊鼠標(biāo)左鍵并將宏拖到桌面上。這將為我們創(chuàng)建一個(gè)可以修改的初始.MAM文件。用你喜歡的編輯器或記事本打開(kāi)它，看看我們有什么需要修改的地方。

正如你所看到的，快捷方式的屬性并不多。唯一需要我們更改的就是DatabasePath變量，指定我們遠(yuǎn)程托管地址路徑。我們可以通過(guò)SMB或Web托管ACCDE文件。通過(guò)SMB托管可以實(shí)現(xiàn)雙重目的，捕獲憑據(jù)以及允許端口445離開(kāi)目標(biāo)網(wǎng)絡(luò)。在本文中，我將通過(guò)http演示如何做到這一點(diǎn)。

釣魚(yú)

在遠(yuǎn)程主機(jī)上，使用首選的Web托管方法提供ACCDE文件。

編輯.MAM文件以指向Web服務(wù)器上托管的ACCDE文件。

現(xiàn)在我們的任務(wù)是將MAM payload傳送給我們的目標(biāo)。一些提供商默認(rèn)阻止MAM文件和Outlook，因此在這種情況下，我們會(huì)向目標(biāo)發(fā)送釣魚(yú)鏈接，并且只會(huì)在我們的web服務(wù)器上托管我們的MAM文件，或者你也可以使用Apache mod_rewrite進(jìn)行一些重定向操作，詳細(xì)說(shuō)明請(qǐng)點(diǎn)擊這里。

一旦目標(biāo)用戶點(diǎn)擊了我們的釣魚(yú)鏈接（在使用Edge瀏覽器的情況下），系統(tǒng)將會(huì)提示他們打開(kāi)或保存文件。

接著，系統(tǒng)會(huì)再次向用戶彈出安全警告提示框。

最后，系統(tǒng)還會(huì)警告一次，并將向用戶顯示遠(yuǎn)程托管主機(jī)的IP或域名（希望會(huì)有說(shuō)服力）。而在此之后將不會(huì)出現(xiàn)任何的安全警告，以及阻止此macro payload運(yùn)行的情況。

用戶單擊“ Open”后，我們的代碼就會(huì)被執(zhí)行。

雖然這當(dāng)中出現(xiàn)了好幾次的安全提示，但對(duì)于毫無(wú)戒心的不知情用戶而言，也很容易成功。此外，我們還可以結(jié)合一些社會(huì)工程學(xué)的技巧，以達(dá)到我們的最終目的。

OPSEC

在滲透測(cè)試的收尾階段，我們不能忘的一件事就是擦干凈可能遺留在目標(biāo)系統(tǒng)上的痕跡。那么針對(duì)我們的這個(gè)payload在系統(tǒng)執(zhí)行后，又會(huì)留下些什么蛛絲馬跡呢？讓我們通過(guò)procmon一探究竟。

第一個(gè)值得我們注意的條目是“CreateFile”調(diào)用，它執(zhí)行上圖所示命令。查找用于命令行審計(jì)的“ShellOpenMacro”字符串。

接下來(lái)，我們來(lái)觀察下從本地計(jì)算機(jī)保存并被執(zhí)行的遠(yuǎn)程ACCDE文件。雖然看起來(lái)好像我們的payload是遠(yuǎn)程調(diào)用的，但它卻被下載到了“%APPDATA%\Local\Microsoft\Windows\INetCache\Content.MSO\95E62AFE.accde\PopCalc.accde”中。因此，一定要格外注意對(duì)該文件的清理。

緩解措施

在Microsoft Office 2016中，你可以啟用GPO以阻止來(lái)自網(wǎng)絡(luò)中的宏執(zhí)行或?yàn)槊總€(gè)辦公產(chǎn)品設(shè)置以下注冊(cè)表項(xiàng)。

Computer\HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Access\Security\blockcontentexecutionfrominternet = 1

如果用戶進(jìn)行了此項(xiàng)設(shè)置后，釣魚(yú)程序?qū)?huì)被拒絕執(zhí)行。需要注意的是，即使宏被阻止了，MAM文件仍會(huì)向外pull down Access文件。所以，目標(biāo)用戶仍將會(huì)知道你是通過(guò)smb接收?qǐng)?zhí)行或竊取憑據(jù)的。

關(guān)于如何進(jìn)行Microsoft Access Macro MAM的快捷方式釣魚(yú)測(cè)試就分享到這里了，希望以上內(nèi)容可以對(duì)大家有一定的幫助，可以學(xué)到更多知識(shí)。如果覺(jué)得文章不錯(cuò)，可以把它分享出去讓更多的人看到。