如何使用跨平台的EvilClippy创建恶意MSOffice文档

本篇文章给大家分享的是有关如何使用跨平台的EvilClippy创建恶意MS Office文档,小编觉得挺实用的,因此分享给大家学习,希望大家阅读完这篇文章后可以有所收获,话不多说,跟着小编一起来看看吧。

创新互联公司服务项目包括大安市网站建设、大安市网站制作、大安市网页制作以及大安市网络营销策划等。多年来,我们专注于互联网行业,利用自身积累的技术优势、行业经验、深度合作伙伴关系等,向广大中小型企业、政府机构等提供互联网行业的解决方案,大安市网站推广取得了明显的社会效益与经济效益。目前,我们服务的客户以成都为中心已经辐射到大安市省份的部分城市,未来相信会继续扩大服务区域并继续获得客户的支持与信任!

今天给大家介绍的是一款名叫EvilClippy的开源工具,EvilClippy是一款专用于创建恶意MS Office测试文档的跨平台安全工具,它可以隐藏VBA宏和VBA代码,并且可以对宏代码进行混淆处理以增加宏分析工具的分析难度。当前版本的EvilClippy支持在Linux、macOS和Windows平台上运行,实现了跨平台特性。

如何使用跨平台的EvilClippy创建恶意MS Office文档    

功能介绍

1、 在GUI编辑器中隐藏VBA宏;

2、 混淆安全分析工具;

3、 VBA Stomping;

4、 引入VBA P-Code伪编码;

5、 设置远程VBA项目锁定保护机制;

6、 通过HTTP提供VBA Stomped模板;

工具效果

目前,该工具生成的默认Cobalt Strike宏可以绕过所有主流的反病毒产品以及宏分析工具。

技术分析

EvilClippy使用了OpenMCDF库来修改MS Office的CFBF文件,并利用了MS-OVBA规范和特性。该工具重用了部分Kavod.VBA.Compression代码来实现压缩算法,并且使用了Mono    C#编译器实现了在Linux、macOS和Windows平台上的完美运行。

工具安装

注:跨平台编译代码可以在该项目的releases页面下获取。

macOS和Linux

确保安装了Mono,然后运行下列命令:

mcs/reference:OpenMcdf.dll,System.IO.Compression.FileSystem.dll/out:EvilClippy.exe *.cs

然后运行EvilClippy:

mono EvilClippy.exe –h

Windows

确保安装了Visual Studio,然后在Visual Studio开发者命令行窗口中输入下列命令:

csc/reference:OpenMcdf.dll,System.IO.Compression.FileSystem.dll/out:EvilClippy.exe *.cs

然后在命令行中运行EvilClippy:

EvilClippy.exe –h

工具使用

显示帮助信息

EvilClippy.exe –h

在GUI中隐藏宏

EvilClippy.exe -g macrofile.doc

VBA Stomp(P-Code伪编码)

EvilClippy.exe -s fakecode.vba macrofile.doc

为VBA Stomping设置目标Office版本信息

EvilClippy.exe -s fakecode.vba -t 2016x86 macrofile.doc

设置随机模块名(混淆安全分析工具)

EvilClippy.exe -r macrofile.doc

通过HTTP提供VBA Stomp模板;

EvilClippy.exe -s fakecode.vba -w 8080 macrofile.dot

设置远程VBA项目锁定保护

EvilClippy.exe -u macrofile.doc

解除保护:

EvilClippy.exe -uu macrofile.doc

以上就是如何使用跨平台的EvilClippy创建恶意MS Office文档,小编相信有部分知识点可能是我们日常工作会见到或用到的。希望你能通过这篇文章学到更多知识。更多详情敬请关注创新互联行业资讯频道。


新闻标题:如何使用跨平台的EvilClippy创建恶意MSOffice文档
新闻来源:http://hbruida.cn/article/gocdsc.html