Microsoft Access Macro 快捷方式釣魚測試

最新 07-16

去年，我曾發表過一篇關於創建惡意.ACCDE（Microsoft Access資料庫）文件，並將其作為攻擊向量進行網路釣魚的文章。作為擴展，本文將為大家引入一種新的釣魚方案Microsoft Access Macro「MAM」快捷方式釣魚。MAM文件是一個直接鏈接到Microsoft Access Macro的快捷方式（從Office 97開始）。

創建一個MAM文件

我們先來創建一個可以彈出本地計算機的，簡單Microsoft Access資料庫來練練手。首先，我們打開MS Access並創建一個空資料庫。如下：

接著，找到Create ribbon並選擇Module。這將為我們打開Microsoft Visual Basic for Applications design editor。

在Microsoft Access中，我們的module將包含我們的代碼庫，而macro將會使Access執行VB代碼。

以下是我編寫的一個簡單的計算機彈出代碼：

請注意這裡我是如何將Function調用添加到此代碼中的。當我們創建宏時，它將尋找function調用而不是sub。

現在，我們保存模塊並退出代碼編輯器。

模塊保存後，我們可以創建宏來調用模塊。打開Create ribbon並選擇「macro」。使用下拉框選擇「Run Code」並指向你的宏函數。

接下來，我們點擊「Run」菜單選項來測試宏，Access將提示你保存宏。如果你希望在打開文檔時自動運行宏，請務必將宏保存為Autoexec。

保存項目，我們以.accdb格式保存，以便後續對該項目的修改操作。

然後，我們將再次保存我們的項目。這一次，我們選擇Make ACCDE選項。這將為我們創建資料庫的「execute only」版本。

我們可以將ACCDE作為釣魚時的payload添加至郵件或鏈接當中。我們可以創建MAM快捷方式，它將遠程鏈接到我們的ACCDE文件並通過網路運行其中的內容。

確保ACCDE文件已打開，單擊滑鼠左鍵並將宏拖到桌面上。這將為我們創建一個可以修改的初始.MAM文件。用你喜歡的編輯器或記事本打開它，看看我們有什麼需要修改的地方。

正如你所看到的，快捷方式的屬性並不多。唯一需要我們更改的就是DatabasePath變數，指定我們遠程託管地址路徑。我們可以通過SMB或Web託管ACCDE文件。通過SMB託管可以實現雙重目的，捕獲憑據以及允許埠445離開目標網路。在本文中，我將通過http演示如何做到這一點。

釣魚

在遠程主機上，使用首選的Web託管方法提供ACCDE文件。

編輯.MAM文件以指向Web伺服器上託管的ACCDE文件。

現在我們的任務是將MAM payload傳送給我們的目標。一些提供商默認阻止MAM文件和Outlook，因此在這種情況下，我們會向目標發送釣魚鏈接，並且只會在我們的web伺服器上託管我們的MAM文件，或者你也可以使用Apache mod_rewrite進行一些重定向操作。

一旦目標用戶點擊了我們的釣魚鏈接（在使用Edge瀏覽器的情況下），系統將會提示他們打開或保存文件。

接著，系統會再次向用戶彈出安全警告提示框。

最後，系統還會警告一次，並將向用戶顯示遠程託管主機的IP或域名（希望會有說服力）。而在此之後將不會出現任何的安全警告，以及阻止此macro payload運行的情況。

用戶單擊「 Open」後，我們的代碼就會被執行。

雖然這當中出現了好幾次的安全提示，但對於毫無戒心的不知情用戶而言，也很容易成功。此外，我們還可以結合一些社會工程學的技巧，以達到我們的最終目的。

OPSEC

在滲透測試的收尾階段，我們不能忘的一件事就是擦乾淨可能遺留在目標系統上的痕迹。那麼針對我們的這個payload在系統執行後，又會留下些什麼蛛絲馬跡呢？讓我們通過procmon一探究竟。

第一個值得我們注意的條目是「CreateFile」調用，它執行上圖所示命令。查找用於命令行審計的「ShellOpenMacro」字元串。

接下來，我們來觀察下從本地計算機保存並被執行的遠程ACCDE文件。雖然看起來好像我們的payload是遠程調用的，但它卻被下載到了「%APPDATA%LocalMicrosoftWindowsINetCacheContent.MSO95E62AFE.accdePopCalc.accde」中。因此，一定要格外注意對該文件的清理。