钓鱼邮件制作以及宏免杀

渗透测试工程师

钓鱼邮件制作以及宏免杀

前言：前几天有个瓜娃子说我写的水文不太亲民，大部分复现有一些难度，所以决定这段时间写一些非web的科普文（web是不可能写web的一辈子都不可能水web的文章）。



1.钓鱼邮件的制作

因为说了是科普文所以用最原始的宏病毒，为了方便演示用Cobalt Strike演示。

1.1Cobalt Strike生成宏代码




图1.Cobalt Strike生成宏代码

1.2打开office，创建可以启用宏的word（如doc,docm等）,视图→宏→查看宏→创建宏，把之前复制的宏脚本粘帖进去，然后保存。




图2.插入宏代码           

就这样一封超级简单的钓鱼邮件就制作完成了。只要用户点击宏就能触发回连了





2.宏免杀/静态查杀（EvilClippy的使用）



2.1为什么钓鱼附件进不了收件箱

    随着类似msf,Cobalt Strike工具的出现，钓鱼邮件的制作成本大大降低了。但随之的问题也出现了，因为工具一般是写死的，无法定制化恶意执行代码，导致恶意代码的特征值很容易被抓取，会被发件服务器，收件邮件网关，本地杀毒等一系列防护设备或措施拦截。所以为了邮件能进收件箱，要搞清楚我们的钓鱼邮件在哪一个步骤挂掉了。一般常见的邮件流程如下：

邮件→邮件服务器→防毒→防垃圾→收件箱

2.2如何进行免杀

上文说到要搞清楚我们的附件在什么环节被杀了，首先科普一下当下杀软的三种查杀方式：1.静态查杀 2.云查杀 3.行为查杀。邮件服务器为了可用性和隐私性一般只有静态查杀。所以我们只需要规避特征值绕过静态查杀就可以让钓鱼附件进入收件箱了。如何规避静态查杀？最好的办法当然是自己写恶意代码，但大部分云黑客都是脚本小子，这也没关系，现在gayhub上也有很多免杀开源的脚本。这里以EvilClippy作为演示

地址：https://github.com/outflanknl/EvilClippy/releases

2.3EvilClippy的使用

下载EvilClippy脚本，并运行，这里我们用-s参数





图4.EvilClippy菜单页面

-s参数是通过假的vba代码插入到模块中，用以混淆杀毒程序，这里我们需要写一个正常无毒的vba脚本。




图5.hello.vba

我们瞎鸡儿写一个vba脚本，并保存为hello.vba。然后我们运行EvilClippy。
命令:EvilClippy.exe -s hello.vba diaoyu.doc



图6.EvilClippy进行混淆

把生成的doc扔到在线查杀，结果如图7，查杀率不算太高，但是过静态查杀应该绰绰有余



图7.在线查杀

点击钓鱼文档，启用宏，成功上线





图8.回连上线

写在最后：

    因为邮件网关为了隐私性不可能开启云查杀，为了性能更不可能开启行为查杀，所以静态查杀还是挺好绕过的，再配合我之前的文章：钓鱼发件人伪造，效果更佳。

    钓鱼邮件的本质就是不停地跟邮服防御措施进行对抗，通过不同的CVE进行组合更改，绕过。说到安全策略这一块做得OK不得不提gmail的反钓鱼策略，真的是强的一批，策略更新的也非常的快。

1700311361

祝资源共享吧越来越火！