*嚴正聲明:本文僅限於技術討論與分享,嚴禁用於非法途徑。
今天給大家介紹的是一款名叫EvilClippy的開源工具,EvilClippy是一款專用於創建惡意MS Office測試文檔的跨平臺安全工具,它可以隱藏VBA宏和VBA代碼,並且可以對宏代碼進行混淆處理以增加宏分析工具的分析難度。當前版本的EvilClippy支持在Linux、macOS和Windows平臺上運行,實現了跨平臺特性。
功能介紹
1、 在GUI編輯器中隱藏VBA宏;
2、 混淆安全分析工具;
3、 VBA Stomping;
4、 引入VBA P-Code偽編碼;
5、 設置遠程VBA項目鎖定保護機制;
6、 通過HTTP提供VBA Stomped模板;
工具效果
目前,該工具生成的默認Cobalt Strike宏可以繞過所有主流的反病毒產品以及宏分析工具。
技術分析
EvilClippy使用了OpenMCDF庫來修改MS Office的CFBF文件,並利用了MS-OVBA規範和特性。該工具重用了部分Kavod.VBA.Compression代碼來實現壓縮算法,並且使用了Mono C#編譯器實現了在Linux、macOS和Windows平臺上的完美運行。
工具安裝
注:跨平臺編譯代碼可以在該項目的releases頁面下獲取。
macOS和Linux
確保安裝了Mono,然後運行下列命令:
mcs/reference:OpenMcdf.dll,System.IO.Compression.FileSystem.dll/out:EvilClippy.exe *.cs
然後運行EvilClippy:
mono EvilClippy.exe –h
Windows
確保安裝了Visual Studio,然後在Visual Studio開發者命令行窗口中輸入下列命令:
csc/reference:OpenMcdf.dll,System.IO.Compression.FileSystem.dll/out:EvilClippy.exe *.cs
然後在命令行中運行EvilClippy:
EvilClippy.exe –h
工具使用
顯示幫助信息
EvilClippy.exe –h
在GUI中隱藏宏
EvilClippy.exe -g macrofile.doc
VBA Stomp(P-Code偽編碼)
EvilClippy.exe -s fakecode.vba macrofile.doc
為VBA Stomping設置目標Office版本信息
EvilClippy.exe -s fakecode.vba -t 2016x86 macrofile.doc
設置隨機模塊名(混淆安全分析工具)
EvilClippy.exe -r macrofile.doc
通過HTTP提供VBA Stomp模板;
EvilClippy.exe -s fakecode.vba -w 8080 macrofile.dot
設置遠程VBA項目鎖定保護
EvilClippy.exe -u macrofile.doc
解除保護:
EvilClippy.exe -uu macrofile.doc
項目地址:(https://github.com/outflanknl/EvilClippy)
閱讀更多 Whitezero 的文章