如何使用跨平臺的EvilClippy創建惡意MS Office文檔

本篇文章給大家分享的是有關如何使用跨平臺的EvilClippy創建惡意MS Office文檔，小編覺得挺實用的，因此分享給大家學習，希望大家閱讀完這篇文章后可以有所收獲，話不多說，跟著小編一起來看看吧。

今天給大家介紹的是一款名叫EvilClippy的開源工具，EvilClippy是一款專用于創建惡意MS Office測試文檔的跨平臺安全工具，它可以隱藏VBA宏和VBA代碼，并且可以對宏代碼進行混淆處理以增加宏分析工具的分析難度。當前版本的EvilClippy支持在Linux、macOS和Windows平臺上運行，實現了跨平臺特性。

功能介紹

1、 在GUI編輯器中隱藏VBA宏；

2、 混淆安全分析工具；

3、 VBA Stomping；

4、 引入VBA P-Code偽編碼；

5、 設置遠程VBA項目鎖定保護機制；

6、 通過HTTP提供VBA Stomped模板；

工具效果

目前，該工具生成的默認Cobalt Strike宏可以繞過所有主流的反病毒產品以及宏分析工具。

技術分析

EvilClippy使用了OpenMCDF庫來修改MS Office的CFBF文件，并利用了MS-OVBA規范和特性。該工具重用了部分Kavod.VBA.Compression代碼來實現壓縮算法，并且使用了Mono    C#編譯器實現了在Linux、macOS和Windows平臺上的完美運行。

工具安裝

注：跨平臺編譯代碼可以在該項目的releases頁面下獲取。

macOS和Linux

確保安裝了Mono，然后運行下列命令：

mcs/reference:OpenMcdf.dll,System.IO.Compression.FileSystem.dll/out:EvilClippy.exe *.cs

然后運行EvilClippy：

mono EvilClippy.exe –h

Windows

確保安裝了Visual Studio，然后在Visual Studio開發者命令行窗口中輸入下列命令：

csc/reference:OpenMcdf.dll,System.IO.Compression.FileSystem.dll/out:EvilClippy.exe *.cs

然后在命令行中運行EvilClippy：

EvilClippy.exe –h

工具使用

顯示幫助信息

EvilClippy.exe –h

在GUI中隱藏宏

EvilClippy.exe -g macrofile.doc

VBA Stomp（P-Code偽編碼）

EvilClippy.exe -s fakecode.vba macrofile.doc

為VBA Stomping設置目標Office版本信息

EvilClippy.exe -s fakecode.vba -t 2016x86 macrofile.doc

設置隨機模塊名（混淆安全分析工具）

EvilClippy.exe -r macrofile.doc

通過HTTP提供VBA Stomp模板；

EvilClippy.exe -s fakecode.vba -w 8080 macrofile.dot

設置遠程VBA項目鎖定保護

EvilClippy.exe -u macrofile.doc

解除保護：

EvilClippy.exe -uu macrofile.doc

以上就是如何使用跨平臺的EvilClippy創建惡意MS Office文檔，小編相信有部分知識點可能是我們日常工作會見到或用到的。希望你能通過這篇文章學到更多知識。更多詳情敬請關注億速云行業資訊頻道。