如何使用跨平臺(tái)的EvilClippy創(chuàng)建惡意MS Office文檔

本篇文章給大家分享的是有關(guān)如何使用跨平臺(tái)的EvilClippy創(chuàng)建惡意MS Office文檔，小編覺得挺實(shí)用的，因此分享給大家學(xué)習(xí)，希望大家閱讀完這篇文章后可以有所收獲，話不多說，跟著小編一起來看看吧。

今天給大家介紹的是一款名叫EvilClippy的開源工具，EvilClippy是一款專用于創(chuàng)建惡意MS Office測試文檔的跨平臺(tái)安全工具，它可以隱藏VBA宏和VBA代碼，并且可以對(duì)宏代碼進(jìn)行混淆處理以增加宏分析工具的分析難度。當(dāng)前版本的EvilClippy支持在Linux、macOS和Windows平臺(tái)上運(yùn)行，實(shí)現(xiàn)了跨平臺(tái)特性。

功能介紹

1、 在GUI編輯器中隱藏VBA宏；

2、 混淆安全分析工具；

3、 VBA Stomping；

4、 引入VBA P-Code偽編碼；

5、 設(shè)置遠(yuǎn)程VBA項(xiàng)目鎖定保護(hù)機(jī)制；

6、 通過HTTP提供VBA Stomped模板；

工具效果

目前，該工具生成的默認(rèn)Cobalt Strike宏可以繞過所有主流的反病毒產(chǎn)品以及宏分析工具。

技術(shù)分析

EvilClippy使用了OpenMCDF庫來修改MS Office的CFBF文件，并利用了MS-OVBA規(guī)范和特性。該工具重用了部分Kavod.VBA.Compression代碼來實(shí)現(xiàn)壓縮算法，并且使用了Mono    C#編譯器實(shí)現(xiàn)了在Linux、macOS和Windows平臺(tái)上的完美運(yùn)行。

工具安裝

注：跨平臺(tái)編譯代碼可以在該項(xiàng)目的releases頁面下獲取。

macOS和Linux

確保安裝了Mono，然后運(yùn)行下列命令：

mcs/reference:OpenMcdf.dll,System.IO.Compression.FileSystem.dll/out:EvilClippy.exe *.cs

然后運(yùn)行EvilClippy：

mono EvilClippy.exe –h

Windows

確保安裝了Visual Studio，然后在Visual Studio開發(fā)者命令行窗口中輸入下列命令：

csc/reference:OpenMcdf.dll,System.IO.Compression.FileSystem.dll/out:EvilClippy.exe *.cs

然后在命令行中運(yùn)行EvilClippy：

EvilClippy.exe –h

工具使用

顯示幫助信息

EvilClippy.exe –h

在GUI中隱藏宏

EvilClippy.exe -g macrofile.doc

VBA Stomp（P-Code偽編碼）

EvilClippy.exe -s fakecode.vba macrofile.doc

為VBA Stomping設(shè)置目標(biāo)Office版本信息

EvilClippy.exe -s fakecode.vba -t 2016x86 macrofile.doc

設(shè)置隨機(jī)模塊名（混淆安全分析工具）

EvilClippy.exe -r macrofile.doc

通過HTTP提供VBA Stomp模板；

EvilClippy.exe -s fakecode.vba -w 8080 macrofile.dot

設(shè)置遠(yuǎn)程VBA項(xiàng)目鎖定保護(hù)

EvilClippy.exe -u macrofile.doc

解除保護(hù)：

EvilClippy.exe -uu macrofile.doc

以上就是如何使用跨平臺(tái)的EvilClippy創(chuàng)建惡意MS Office文檔，小編相信有部分知識(shí)點(diǎn)可能是我們?nèi)粘９ぷ鲿?huì)見到或用到的。希望你能通過這篇文章學(xué)到更多知識(shí)。更多詳情敬請關(guān)注億速云行業(yè)資訊頻道。