【Day 02】Word 很大，你要看一下 - Microsoft Office Phishing

环境

• Microsoft Office 2019

这篇文主要介绍我在 Microsoft Office 2019 尝试并且测试成功的手法为主，因为微软在对付钓鱼攻击这方面也是有很多更新，所以有些在旧版本可行的攻击手法在新版本可能会变得无法使用。

钓鱼(Phishing)

一般听到钓鱼，可能第一个联想到的是钓鱼网站，透过引导使用者到需要伪造的网站窃取帐号密码。Office 的钓鱼其实也是差不多的概念，诱骗使用者给予权限或允许一些功能导致恶意指令的执行。

一般人听到骇客入侵，也许会觉得防毒软件不给力；有资安概念的人会知道可能是什麽 0-day, 1-day, ... 等等漏洞。但是其实社交工程也是一个很大的威胁，从基层人员下手，取得低权限的帐户後再进行提权。

比较常见到的案例是有人想要下载盗版软件，然後从不知名网站下载压缩档，结果执行後就中毒了。还有电子邮件收到档案，没有确认过来源就直接下载执行。

种种原因，目前资安法也要求人员的资安训练并要达到一定时数。

Office 钓鱼手法

巨集(Macro)

介绍

根据微软的介绍，巨集是可以用来将重复性作业自动化的一系列命令，且可以在需要进行该作业时执行。虽然巨集很方便，但是也被恶意程序滥用。

VBA Macro

建立一个 word(.docx) 档案，按下 Alt+F11 会进入 Macro Editor。

在程序码中输入以下程序。其中 Document_Open 是一个事件，会在档案开启时触发。Shell 则是执行程序，参数要放路径。

Private Sub Document_Open()
  a = Shell("C:\Windows\System32\calc.exe")
End Sub

存档要存成 docm 档，这才支援 Macro 语法。

存档完打开後会出现已经停用巨集，因为预设不是启用的。所以如果有个麻瓜不知道这按下去可能会执行某个程序就开启小算盘了。

Excel 4.0 Macro

这是比较旧的巨集，在 1992 年 Excel 4.0 出现的功能，不过现在还是可以使用，它跟 Excel 5.0 的 VBA Macro 差了不少，这边也介绍它的玩法。

打开 Excel(.xlsx)，在左下角工作表按右键 => 插入。

选择 Excel 4.0 巨集表。

在座标栏位输入 Auto_Open，代表开启後自动执行。EXEC 和 HALT 则分别代表执行和结束 Macro。

最後存成 xlsm 档案，否则不能使用巨集。

超连结

超连结功能是连结到外部资源，但是也可以被恶意用来连结到钓鱼网站或是本机的档案。

按下插入 => 连结，网址的部分可以选择本机档案或是钓鱼网站的连结，显示的文字也可以误导使用者。

如果没仔细看就会就不小心按了确认就执行档案或者是不知道自己连到钓鱼网站了。

防范方法

这里直接引用趋势科技写的部分内容。

其他

这篇有提到的范例会放在我的 GitHub zeze-zeze/2021iThome。

还有很多玩法可以参考以下参考资料，这篇主要还是让大家认识基本的钓鱼攻击可能的行为原理，藉此产生更多危机意识。

参考资料

• Phishing with MS Office
• Embed or link to a file in Word
• oletools
• Macro: MSDN
• Old school: evil Excel 4.0 macros (XLM)
• How to Reverse Office Droppers: Personal Notes