一种“白技术”利用绕过杀软执行payload

曾经在学校接触过APT攻击，抱着对其心技术的兴趣。闲来无事，自己也尝试着利用“白利用”技术构造钓鱼文档执行payload，侥幸的是也成功绕过瑞星、火绒等杀毒软件。

在本文中，我将向大家介绍一种APT常用的攻击手法,通过构造恶意的宏文档执行payload。

本次构造的payload所使用的一款白程序是certutil.exe。该程序是一个Windows系统的内置程序，用于管理Windows中的证书。在Windows系统中，可以利用certutil.exe对证书进行安装，备份，删除，管理和执行与证书相关的各种功能。
执行payload所使用的是certutil.exe处理base64编码数据和从远程下载证书或其他文件的功能 ，用法如下：

本文利用的是certutil处理base64编码功能，废话不多说，直接上干货：
攻击机：Ubuntu16.04
受害机：本地win10
为了演示简单我直接执行一条反弹shell，将本地shell重定向到远程服务器：

将这条指令进行base64转码，放入一个新建的Excel文档中（一定放在隐蔽的地方）如下图:

为了演示，代码写的比较简单，也没有进行混淆和加密。代码中通过Workbook_Open()函数自动执行，这里可以执行shell，同样也可以执行powershell，可见宏功能的强大性。
写完之后不要忘了给宏代码进行加密，密码设置的尽可能复杂：

这样一个完整的恶意Excel文档就完成了。可以发给自己的小伙伴试试。

在服务器上启动9999端口监听：

在查看服务端：

可以看到，已经收到本地的shell了。之后又发给安全的一个同事进行了验证，可怕的是瑞星和火绒居然没有报，没有报，惊不惊喜，意不意外 ,这要是挂个大马…脑补吧

本文分享的方法比较简单，抛砖引玉，后续大家可以继续优化改进。
PS：本文技术分享的目的是为了针对此类型攻击做好针对性防御，各位看官没事不要以此方法去尝试做各种攻击。

文章知识点与官方知识档案匹配，可进一步学习相关知识网络技能树首页概览22215 人正在系统学习中

来源：爱喝酒的巴巴