严正声明:本文仅限于技术讨论与分享,严禁用于非法途径。
今天我们将探讨一款名为EvilClippy的开源工具。EvilClippy是一款专为创建恶意MS Office测试文档而设计的跨平台安全工具,它能够隐藏VBA宏和VBA代码,并且通过混淆处理来增加宏分析工具的分析难度。目前的EvilClippy版本支持在Linux、macOS和Windows平台上运行,实现了跨平台的功能。
功能介绍
在GUI编辑器中隐藏VBA宏;混淆安全分析工具;执行VBA Stomping;引入VBA P-Code伪编码;设置远程VBA项目锁定保护机制;通过HTTP提供VBA Stomped模板。
工具效果
目前,该工具生成的默认Cobalt Strike宏能够绕过所有主流的反病毒产品以及宏分析工具。
技术分析
EvilClippy利用了OpenMCDF库来修改MS Office的CFBF文件,并遵循了MS-OVBA规范和特性。该工具重用了部分Kavod.VBA.Compression代码来实现压缩算法,并使用了Mono C#编译器在Linux、macOS和Windows平台上实现完美运行。
工具安装
注:跨平台编译代码可以在该项目的releases页面下获取。
对于macOS和Linux用户,确保安装了Mono,然后运行以下命令:
mcs/reference:OpenMcdf.dll,System.IO.Compression.FileSystem.dll/out:EvilClippy.exe *.cs
然后运行EvilClippy:
mono EvilClippy.exe –h
对于Windows用户,确保安装了Visual Studio,然后在Visual Studio开发者命令行窗口中输入以下命令:
csc/reference:OpenMcdf.dll,System.IO.Compression.FileSystem.dll/out:EvilClippy.exe *.cs
然后在命令行中运行EvilClippy:
EvilClippy.exe –h
工具使用
蚂上有创意
支付宝推出的AI创意设计平台,专注于电商行业
64 查看详情
显示帮助信息:
EvilClippy.exe –h
在GUI中隐藏宏:
EvilClippy.exe -g macrofile.doc
执行VBA Stomp(P-Code伪编码):
EvilClippy.exe -s fakecode.vba macrofile.doc
为VBA Stomping设置目标Office版本信息:
EvilClippy.exe -s fakecode.vba -t 2016x86 macrofile.doc
设置随机模块名(混淆安全分析工具):
EvilClippy.exe -r macrofile.doc
通过HTTP提供VBA Stomp模板:
EvilClippy.exe -s fakecode.vba -w 8080 macrofile.dot
设置远程VBA项目锁定保护:
EvilClippy.exe -u macrofile.doc
解除保护:
EvilClippy.exe -uu macrofile.doc
项目地址
EvilClippy:https://www.php.cn/link/9366088bf5e4cc99d4d04ed9f2940d24
参考资料
https://www.php.cn/link/6acf2725b339ee1695ebf86253f75221https://www.php.cn/link/a0d26bf79de52c1ebbcb63c52542825fhttps://www.php.cn/link/1fcf9224f1f09a97ad293c680a215696
*参考来源:outflanknl,FB小编Alpha_h4ck编译,转载请注明来自FreeBuf.COM
以上就是揭秘如何使用跨平台的EvilClippy创建恶意MS Office文档的详细内容,更多请关注创想鸟其它相关文章!
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。
如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至 chuangxiangniao@163.com 举报,一经查实,本站将立刻删除。
发布者:程序猿,转转请注明出处:https://www.chuangxiangniao.com/p/360184.html
微信扫一扫 
支付宝扫一扫 
