社会工程学 | office宏分离免杀及应急处置

声明：本人坚决反对利用文章内容进行恶意攻击行为，一切错误行为必将受到惩罚，绿色网络需要靠我们共同维护，推荐大家在了解技术原理的前提下，更好的维护个人信息安全、企业安全、国家安全。

Office宏分离免杀的方式是在目标用户的office开启宏功能的前提下，诱骗其使用office办公软件打开文档，通过加载远程的恶意宏代码，达到控制目标主机权限的目的。

1

Office宏木马

1、在桌面基础创建文档名称：beta.docx

2、进入word文档后，开启开发者工具

3、打开Cobaltstrike后渗透工具，选择Attacks->Package->MS Office Macro

4、选择生成的Payload，这里选择使用Beacon http，会连到主机的IP地址是192.168.146.128

5、 点击复制宏代码

6、将代码复制到word文档中开发工具->Visual Basic的代码窗口中。右上角选择Auto_Open，当使用者在打开word文档时，簿会自动运行宏提示信息。

7、Ctrl+S保存后，会提示，点击否，选择保存类型：beta.dotm

8、鼠标右键单击beta.dotm文件，选择打开，(此处注意不能双击打开，双击是无法打开模版文件的，在模版文件上双击默认是以此模版创建新文件)，然后可以看到能正常反弹shell。接下来就可以做免杀处理了。

9、将后门宏文件beta.dotm上传到公网服务器中,开启apache服务即可

10、创建一个简历模板，更改后缀位压缩文件的格式为.zip，并进行减压。

11、将zip文件解压，进入/word/_rels目录下，打开settings.xml.rels宏文件，将该段代码修改为以下内容，意思就是执行开启宏后，会执行访问下载服务器上的dotm宏文件并执行！！

12、然后将内容重新压缩后，在修改zip为docx类型，修改后就可以打开简历了。

2

应急处置

(1)查询异常的网络连接情况

netstat -ano | findstr '192.168.146.*'

（2）根据PID找到可执行文件名称

tasklist | findstr 16584

（3）查找16584的命令行

wmic process where processid=16584 get commandline /format:csv

（4）查询该PID的父进程对应的PID号

wmic process where processid=16584 get parentprocessid /format:csv

(5) 查找父PID7524的命令行