通常的釣魚郵件場景中office的安全問題一直都受到關注，惡意宏文檔制作簡單，兼容性強，并且攻擊成本較小，所以整體占比較大。但是使用惡意宏進行攻擊，往往需要用戶進行交互，攻擊的隱蔽性不強，結合Powershell的攻擊方式二者結合還是可以搞一點大事情的。
前段時間在接觸到一些基于魚叉郵件攻擊的案例時針對里面的銀行木馬與攻擊方式進行了簡單的分析，對powershell與office的宏巧妙結合的方式產生了一些興趣。
0×1 主要思路
宏病毒是一種寄存在文檔或模板的宏中的計算機病毒。一旦打開這樣的文檔，其中的宏就會被執行，于是宏病毒就會被激活，轉移到計算機上，并駐留在Normal模板上。
我們通過工具生成一個有powershelldownloader功能的一個excel，victim服務器打開此excel之后會從CC服務器下載并執行一個基于powershell的payload到本地的計算機后就可以通過CC服務器當中的Metasploit操控Victim服務器。
0×2 攻擊方法
首先在kali下面生成一個powershell的后門，設置好相關的參數。

本地開啟http的服務器，kali2集成好了apache的服務，將生成好的后門改名為payload.txt后門復制到網站的根目錄。

通過瀏覽器訪問，確認可以訪問成功。

之后本地設置好Metasploit的參數，開始監聽，這里的payload主要reverse_https可以避開一些基于流量檢測的安全設備。

在github下載一個powershell工具用于生成excel后門，這里使用了Generate-Macro一個評價很不錯的小工具。
連接如下：https://github.com/enigma0x3/Generate-Macro

本地生成excel的后門excel文檔設置好相關的參數選項，比較溫馨的是會自動的將宏與文檔打包到一起，目前只支持http協議和https協議，在選擇后門的自啟動方式這里還是有很多選擇，設置計劃任務也是很多后門常用的手段之一。

victim端打開此文檔后啟用宏之后，會執行相關的宏代碼連接到Metasploit的客戶端，使用shell命令可以可以獲得一個命令行對應的windows系統此時應該會拉起一個cmd.exe


0×3 進程拉起順序
在victim端口查看相關進程可以發現依次的啟動順序為：svchost.exe-> WmiPrvSE.exe  -> powershell.exe ->powershell.exe ->cmd.exe

待用戶執行了宏代碼之后，會調用windows系統的當中的wmi拉起powershell進行下載并連接遠程CC端。
關鍵代碼如下：

可以在第一個powershell.exe的啟動參數找到痕跡

第一個powershell.exe之后拉起第二個powershell.exe執行保存在payload.txt里面的惡意代碼，會設置自啟動。

之后在執行了shell命令執行，第二個powershell.exe會主動拉起一個cmd.exe 進行遠程命令執行。
0×4 其他行為
可以在注冊表當中找到已經設置好的自啟動項目，主要內容保存在C盤C:\Users\Public\config.vbs目錄下并設置隱藏屬性。

生成開機啟動的惡意文件代碼如下：
添加到注冊表的惡意代碼如下：

通過抓包分析獲取到的流量數據基本都是是亂碼,流量分析起來有一定的困難。

0×5 總結
1.如果投遞特定主題及內容的電子郵件來進行攻擊，安全意識薄弱的用戶很容易中招。攻擊者從遠程獲取惡意軟件或者攻擊負載powershell腳本經過混淆之后進行base64編碼，對于檢測這些攻擊行為無論是靜態掃描還是動態檢測都造成了一定的難度。
2.office本身也有CVE2017-0262、CVE–2017–8759、CVE-2017-0199、CVE-2017-11882等多個安全問題，攻擊手法也有了較多的差異性，作為普通用戶在日常的工作生活當中還是應該提升自身的安全意識，安裝殺毒軟件支持國產office，對于陌生的郵件一定要慎點。