宏病毒還有不瞭解的麼

語言: CN / TW / HK
時間 2020-06-23 22:21:17

有不少粉絲私聊問我宏病毒,今天就稍微總結總結寫給有興趣的小夥伴們,大佬勿噴

0x00 原理介紹

按照常規套路我們依舊從原理剖析一下。首先,什麼是宏?是一種可在其更廣泛的環境中工作的編程語言編寫的,可以理解成一個小程序,能在較大的程序中運行,可以代表用户自動執行任務,通常會指一項複雜或比較耗時的任務,它還在很多MMORPG(大型多人在線角色扮演遊戲)社區和某些搜索引擎優化軟件中使用

宏病毒會依靠特定的應用程序工作,並且通常會攻擊使用Microsoft程序的Windows或Mac計算機,但是除了Microsoft其他軟件程序也會**作

如果被攻擊了,它會傳播到其他文檔,可能會遇到泄漏敏感信息,文件被加密等等

當前Microsoft Office的宏是使用Visual Basic for Applications(VBA)編寫的,是Microsoft流行的Visual Basic編程語言的一種變體專門為Office建的

VBA可在大多數Office程序中使用,例如Access,Excel,Outlook,PowerPoint,Project,Publisher,Visio和Word等等。它也可以適用於Windows和Macintosh的Office的最新版本中使用

由於宏是用編程語言編寫的程序,像其他程序一樣,也可能會受到惡意軟件的破壞。Microsoft Office因為使用人數多,Microsoft聲稱有12億用户哈哈哈可能也是經常被攻擊的原因吧

宏病毒通過修改(* .DOC)和NORMAL.DOT模板來感染Microsoft Office文檔。在感染NORMAL.DOT之前在Microsoft Word下打開受感染的文檔時,該病毒將獲得AutoOpen宏的控制權,並感染選定的全局默認模板通常為NORMAL.DOT

之後使用File | SaveAS命令保存的每個文檔都被病毒感染。如果在感染之前存在任何宏,它們將被覆蓋

宏其實是一種節省時間的好方法,可以節省可預測的任務。比如説將樣式和格式應用於文本,或者與數據源進行通信,甚至單擊即可創建全新的文檔

0x01 如何工作

宏病毒的工作原理是假裝以看似正常的方式執行操作,有些文檔嵌入文檔中並在打開文檔時自動運行。通常情況下宏病毒會通過祕密替換合法命令的方式對計算機進行破壞,當執行在計算機上的操作時,病毒將接管並吿訴計算機執行完全不同的操作

宏病毒利用msf拿shell,利用msf生成宏,將生成的payload放進創建好的宏中,利用kali打開監聽模式就ok了,當然也可以做一下免殺。具體過程可以參照這篇公眾號 利用badusb遠程控制, 也可以利用cs拿shell

0x0 2宏病毒示例

Word.Macro.Concept

這是最常見的宏病毒。1995年8月Microsoft運送給數百家OEM公司的名為“Microsoft Compatibility Test”的CD ROM中存在這種病毒。當打開受感染的文檔時,屏幕上會出現一個帶有文本“ 1”的消息框

Word.Macro.Nuclear

核中的所有宏都受到保護,無法對其進行查看或編輯。被感染的NORMAL.DOC包含名為AutoExec,AutoOpen,DropSuriv,FileExit,FilePrint,FilePrintDefault,FileSaveAs,InsertPayload等九個宏

Word.Macro.Colors

該病毒包含以下宏:AutoOpen, AutoClose, Autoexec, Filenew, Fileexit, Filesave, Filesaveas, Toolsmacro等等

Word.Macro.Hot

此病毒在會WINWORD6.INI配置文件中創建一個包含“hot date”的條目。該“hot date”是從當前日期算起的14天將觸發病毒

Word.Macro.DMV

這是一種“demonstration”概念病毒

Word.Macro.FormatC (TrojanFormat)

這是特洛伊木馬,不會自我複製,會格式化C:

AutoExec、AutoNew、AutoOpen、AutoClose、AutoExit
FileSave、FileSaveAs、FilePrint、FileOpen

0x03 防禦措施

大多數宏病毒並不用下載安裝到計算機上,這就比其他病毒更難檢測。它通常會嘗試感染更多的計算機

宏病毒可以破壞數據,創建新文件,移動文本,格式化硬盤驅動器,發送文件和插入圖片,有時候會出現缺少菜單項或者是出現密碼,如果有這些情況就要考慮是不是宏病毒引發的

如果操作某些感染了宏病毒的文件(文檔或模板)就有可能感染宏病毒

感染文件通常以以下方式傳播:

通過網絡共享文件

打開帶病毒的電子郵件附件

共享USB驅動器或其他外部/共享媒體上的文件

打開並下載帶病毒的Internet文件等等等

為了防止感染宏病毒,我們可以使用惡意軟件清除工具進行程序檢測並清除宏病毒

並且在使用電腦時中不要立即打開電子郵件或電子郵件附件,並且保持防病毒軟件的更新。在下載新程序時也要小心,尤其是Windows系統。儘量也不要點擊彈出式廣吿

總結一句話:禁用宏[狗頭]