客户应急演练需要用到钓鱼邮件,这里记录一下,备忘!!!
0x01 制作钓鱼邮件
首先找到一个邮件模板,任何内容都可以,最好和目标的工作相关。打开文档,按照如下流程进行操作
视图--->宏--->查看宏--->创建(注意宏的位置选择当前文件)--->删除源代码--->粘贴CS宏代码--->关闭编辑器--->word文件另存为启用宏的文件(可修改后缀为doc)
0x02 宏免杀
由于CS的宏病毒利用时间久远,各种杀软已经能自动查杀,利用这个工具EvilClippy可以进行简单免杀。免杀原理是用一个正常的VB绕过杀软的检测,工具使用需要如下四个文件:EvilClippy.exe、OpenMcdf.dll、带宏病毒的文档以及一个正常的VBA空文件
使用方法也很简单,一条命令解决
EvilClippy.exe -s fake.vba -r 流程.docm
可以看到通过工具生成的文件火绒查杀没报毒,可以达到一定的免杀效果。接下来把文件发送给目标,目标打开文档并启用宏则CS可以正常上线。
0x03 钓鱼邮件缺点
可以看到生成带宏病毒的Word和免杀都很简单,但是宏病毒攻击有一个致命的缺点那就是需要用户手动去点击启动宏的按钮,这就需要通过一定的技巧去欺骗用户了反正是我的话,我不会点,由于是应急演练可以提前把word设置成自动运行宏文件即可。
作者: Mari0er
链接: https://mari0er.club/post/cobaltstrike-word.html
版权: 本博客所有文章除特别声明外,均采用CC BY-NC-SA 4.0 许可协议。转载请注明出处!!