在 Office 文檔的屬性中隱藏攻擊載荷

Microsoft Office中的文檔屬性通常包含與文檔和各種其他元數據詳細信息相關的信息。但是，此位置可用於存儲並執行SMB或HTTP伺服器上託管的有效載荷的命令。這將在魚叉式網路釣魚或紅隊評估期間為攻擊者提供一些網路的初始訪問許可權。

Metasploit SMB交付模塊可用於通過SMB伺服器以DLL文件和PowerShell的形式提供有效載荷。

exploit/windows/smb/smb_deliveryn

該模塊可以通過以下參數輕鬆配置：

將生成需要在目標上執行的命令，伺服器將開始等待連接傳入。

由於有效載荷是一個DLL文件，Rundll32實用程序需要執行這個DLL文件。上面的命令需要添加到Word文檔的注釋部分。

Word文檔屬性 – 有效載荷

該文檔必須包含一個宏，執行後將觸發在注釋區域添加的命令。

Sub pentestlab()nDim p As DocumentPropertynFor Each p In ActiveDocument.BuiltInDocumentPropertiesnIf p.Name = "Comments" ThennShell (p.Value)nEnd IfnNextnEnd Subn

當用戶打開啟用宏的Word文檔並運行它時，會打開一個Meterpreter會話。

可以通過執行以下命令與會話的開始交互：

sessionsnsessions -i 1n

有一種替代方案是可以通過PowerShell來實現相同的目的。

該模塊將生成一個代理感知的PowerShell命令，它將從UNC路徑運行有效載荷。

同樣，生成的PowerShell命令將需要導入到Word文檔的注釋中。

當宏執行時，將打開Meterpreter會話。

對於在員工主機中執行深度數據包檢查的企業或組織，Metasploit Web交付模塊可以為PowerShell有效載荷提供服務，並使用自定義證書來封裝所有通信。這將使這種攻擊在魚叉式釣魚場景中更加有效。

exploit/multi/script/web_deliveryn

結論

這種技術提供了一種簡單的方法在Microsoft Office文檔的文檔屬性中來隱藏惡意命令。觸發有效載荷的宏不會被認為是惡意的宏，文檔文件的注釋部分也不會被各種殺毒軟體進行檢查，因為很多殺軟是通過將文檔上傳到VirusTotal來進行檢測的。

因此，如果目標用戶以某種方式確信打開並運行了宏，那麼唯一能阻止這種攻擊的是一個主機入侵防禦系統，它將丟棄Meterpreter連接，因為沒有任何東西接觸到磁碟。但是可以通過使用證書來加密連接來避開HIPS。有關此技術的詳細信息，請參閱文章：繞過防病毒和主機入侵防禦系統。

本文翻譯自：https://pentestlab.blog/2017/12/15/microsoft-office-payloads-in-document-properties/ ，如若轉載，請註明原文地址： http://www.4hou.com/technology/9405.html 更多內容請關注「嘶吼專業版」——Pro4hou

推薦閱讀：