揭秘如何使用跨平台的 EvilClippy 创建恶意 MS Office 文档

2019年5月30日17:05:59 发表评论 14

*严正声明:本文仅限于技术讨论与分享,严禁用于非法途径。

今天给大家介绍的是一款名叫 EvilClippy 的开源工具,EvilClippy 是一款专用于创建恶意 MS Office 测试文档的跨平台安全工具,它可以隐藏 VBA 宏和 VBA 代码,并且可以对宏代码进行混淆处理以增加宏分析工具的分析难度。当前版本的 EvilClippy 支持在 Linux、macOS 和 Windows 平台上运行,实现了跨平台特性。

111111111.png

功能介绍

1、 在 GUI 编辑器中隐藏 VBA 宏;

2、 混淆安全分析工具;

3、 VBA Stomping;

4、 引入 VBA P-Code 伪编码;

5、 设置远程 VBA 项目锁定保护机制;

6、 通过 HTTP 提供 VBA Stomped 模板;

工具效果

目前,该工具生成的默认 Cobalt Strike 宏可以绕过所有主流的反病毒产品以及宏分析工具。

技术分析

EvilClippy 使用了OpenMCDF 库来修改 MS Office 的 CFBF 文件,并利用了MS-OVBA 规范和特性。该工具重用了部分Kavod.VBA.Compression代码来实现压缩算法,并且使用了 Mono C#编译器实现了在 Linux、macOS 和 Windows 平台上的完美运行。

工具安装

注:跨平台编译代码可以在该项目的 releases 页面下获取。

macOS 和 Linux

确保安装了 Mono,然后运行下列命令:

mcs/reference:OpenMcdf.dll,System.IO.Compression.FileSystem.dll/out:EvilClippy.exe *.cs

然后运行 EvilClippy:

mono EvilClippy.exeh

Windows

确保安装了 Visual Studio,然后在 Visual Studio 开发者命令行窗口中输入下列命令:

csc/reference:OpenMcdf.dll,System.IO.Compression.FileSystem.dll/out:EvilClippy.exe *.cs

然后在命令行中运行 EvilClippy:

EvilClippy.exeh

工具使用

显示帮助信息

EvilClippy.exeh

在 GUI 中隐藏宏

EvilClippy.exe -g macrofile.doc

VBA Stomp(P-Code 伪编码)

EvilClippy.exe -s fakecode.vba macrofile.doc

为 VBA Stomping 设置目标 Office 版本信息

EvilClippy.exe -s fakecode.vba -t 2016x86 macrofile.doc

设置随机模块名(混淆安全分析工具)

EvilClippy.exe -r macrofile.doc

通过 HTTP 提供 VBA Stomp 模板;

EvilClippy.exe -s fakecode.vba -w 8080 macrofile.dot

设置远程 VBA 项目锁定保护

EvilClippy.exe -u macrofile.doc

解除保护:

EvilClippy.exe -uu macrofile.doc

项目地址

EvilClippy:【GitHub 传送门

参考资料

1、  https://outflank.nl/blog/2018/10/28/recordings-of-our-derbycon-and-brucon-presentations/

2、  https://vbastomp.com/

3、  https://github.com/bontchev/pcodedmp

* 参考来源:outflanknl,FB 小编 Alpha_h4ck 编译,转自 FreeBuf.

历史上的今天:

  • 博主微信
  • 赶快加我来聊天吧
  • weinxin
  • 站长技术资源群
  • 群号:483950522
  • weinxin

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: