巨集病毒還有不瞭解的麼

語言: CN / TW / HK
時間 2020-06-23 22:21:17

有不少粉絲私聊問我巨集病毒,今天就稍微總結總結寫給有興趣的小夥伴們,大佬勿噴

0x00 原理介紹

按照常規套路我們依舊從原理剖析一下。首先,什麼是巨集?是一種可在其更廣泛的環境中工作的程式語言編寫的,可以理解成一個小程式,能在較大的程式中執行,可以代表使用者自動執行任務,通常會指一項複雜或比較耗時的任務,它還在很多MMORPG(大型多人線上角色扮演遊戲)社群和某些搜尋引擎優化軟體中使用

巨集病毒會依靠特定的應用程式工作,並且通常會攻擊使用Microsoft程式的Windows或Mac計算機,但是除了Microsoft其他軟體程式也會**作

如果被攻擊了,它會傳播到其他文件,可能會遇到洩漏敏感資訊,檔案被加密等等

當前Microsoft Office的巨集是使用Visual Basic for Applications(VBA)編寫的,是Microsoft流行的Visual Basic程式語言的一種變體專門為Office建的

VBA可在大多數Office程式中使用,例如Access,Excel,Outlook,PowerPoint,Project,Publisher,Visio和Word等等。它也可以適用於Windows和Macintosh的Office的最新版本中使用

由於巨集是用程式語言編寫的程式,像其他程式一樣,也可能會受到惡意軟體的破壞。Microsoft Office因為使用人數多,Microsoft聲稱有12億使用者哈哈哈可能也是經常被攻擊的原因吧

巨集病毒通過修改(* .DOC)和NORMAL.DOT模板來感染Microsoft Office文件。在感染NORMAL.DOT之前在Microsoft Word下開啟受感染的文件時,該病毒將獲得AutoOpen巨集的控制權,並感染選定的全域性預設模板通常為NORMAL.DOT

之後使用File | SaveAS命令儲存的每個文件都被病毒感染。如果在感染之前存在任何巨集,它們將被覆蓋

巨集其實是一種節省時間的好方法,可以節省可預測的任務。比如說將樣式和格式應用於文字,或者與資料來源進行通訊,甚至單擊即可建立全新的文件

0x01 如何工作

巨集病毒的工作原理是假裝以看似正常的方式執行操作,有些文件嵌入文件中並在開啟文件時自動執行。通常情況下巨集病毒會通過祕密替換合法命令的方式對計算機進行破壞,當執行在計算機上的操作時,病毒將接管並告訴計算機執行完全不同的操作

巨集病毒利用msf拿shell,利用msf生成巨集,將生成的payload放進建立好的巨集中,利用kali開啟監聽模式就ok了,當然也可以做一下免殺。具體過程可以參照這篇公眾號 利用badusb遠端控制, 也可以利用cs拿shell

0x0 2巨集病毒示例

Word.Macro.Concept

這是最常見的巨集病毒。1995年8月Microsoft運送給數百家OEM公司的名為“Microsoft Compatibility Test”的CD ROM中存在這種病毒。當開啟受感染的文件時,螢幕上會出現一個帶有文字“ 1”的訊息框

Word.Macro.Nuclear

核中的所有巨集都受到保護,無法對其進行檢視或編輯。被感染的NORMAL.DOC包含名為AutoExec,AutoOpen,DropSuriv,FileExit,FilePrint,FilePrintDefault,FileSaveAs,InsertPayload等九個巨集

Word.Macro.Colors

該病毒包含以下巨集:AutoOpen, AutoClose, Autoexec, Filenew, Fileexit, Filesave, Filesaveas, Toolsmacro等等

Word.Macro.Hot

此病毒在會WINWORD6.INI配置檔案中建立一個包含“hot date”的條目。該“hot date”是從當前日期算起的14天將觸發病毒

Word.Macro.DMV

這是一種“demonstration”概念病毒

Word.Macro.FormatC (TrojanFormat)

這是特洛伊木馬,不會自我複製,會格式化C:

AutoExec、AutoNew、AutoOpen、AutoClose、AutoExit
FileSave、FileSaveAs、FilePrint、FileOpen

0x03 防禦措施

大多數巨集病毒並不用下載安裝到計算機上,這就比其他病毒更難檢測。它通常會嘗試感染更多的計算機

巨集病毒可以破壞資料,建立新檔案,移動文字,格式化硬碟驅動器,傳送檔案和插入圖片,有時候會出現缺少選單項或者是出現密碼,如果有這些情況就要考慮是不是巨集病毒引發的

如果操作某些感染了巨集病毒的檔案(文件或模板)就有可能感染巨集病毒

感染檔案通常以以下方式傳播:

通過網路共享檔案

開啟帶病毒的電子郵件附件

共享USB驅動器或其他外部/共享媒體上的檔案

開啟並下載帶病毒的Internet檔案等等等

為了防止感染巨集病毒,我們可以使用惡意軟體清除工具進行程式檢測並清除巨集病毒

並且在使用電腦時中不要立即開啟電子郵件或電子郵件附件,並且保持防病毒軟體的更新。在下載新程式時也要小心,尤其是Windows系統。儘量也不要點選彈出式廣告

總結一句話:禁用巨集[狗頭]