【技术分享】利用PowerShell Empire生成网络钓鱼文件-安全客

预估稿费：180RMB

投稿方式：发送邮件至linwei#360.cn，或登陆网页版在线投稿

前言

目前，大部分网络攻击的第一步还是对目标进行网络钓鱼攻击。一旦网络钓鱼攻击成功，那么你就得到了一个进入目标网络的立足点，然后，你就可以畅快的继续玩耍了。一个好用的钓鱼邮件往往能起到很好的效果，下面我使用PowerShell Empire为大家介绍几种生成钓鱼文件的方法。Empire的载荷包含了多种输出格式，这些输出格式包括宏、HTML应用程序(HTAs)、OLE对象的批处理文件等等。在本次实践中，我将结合实例，对其中的三个受欢迎的输出格式进行详细介绍和示范。

包含恶意宏的Office文件

为了产生一个Office宏格式的Empire钓鱼文件，需要使用Empire的“macro”载荷，同时，当成功钓鱼后，为了能收到目标发来的信息，你肯定还得设置一个监听，下图为开启监听：

如上图所示，监听已经开启，需要注意的是，上图中监听的名称是“test”，你可以对该名称重命名，当需要开启多个监听时，多个监听必须有不同的名称，并使用不同的端口。

然后，使用“macro”载荷，如下图：

如上图，在这里需要设置一个参数，需要将该载荷对应到“test”监听上。然后执行，会生成一个宏，并存储在“/tmp/macro”文件中，如下图：

从上图的VBA代码中可以看出，该宏实际上仅仅执行了一个Empire PowerShell载荷，该载荷使用PowerShell的编码命令进行了转换。

然后我们需要将上面的宏添加到一个Office文档中，我们只需要新建一个Word文件或Excel文件，并点击“视图”标签，选择“宏”，给这个宏起一个名称，然后在“宏的位置”选项中，选择当前文件。

然后点击“创建”，会跳出VB编辑界面，将里面已有的代码删除，然后，将刚才用Empire生成的宏复制粘贴进去，并保存为“Word 97-2003”或“Word Macro-Enabled Document”文件。

然后，你还需要做的是编辑一下Word文件的内容，最好用一些社会工程学的策略，增加目标启用宏的可能性。当目标收到该恶意文件，并打开它时，会呈现出如下的界面：

如果目标点击了“启用宏”，Empire载荷就会被执行，并连接到我们的Empire控制台。如下图：

为了在目标环境中得到一个立足点，Office宏是一个很好的办法。

HTML应用程序(HTA)

HTML应用程序实际上是一个包含HTML的文件，不过它支持VBScript或JavaScript脚本。通过将恶意代码嵌入到HTA文件中，并托管在一个WEB网站上，当目标用浏览器打开HTA链接时，在目标系统中就可以成功的执行HTA包含的代码。

为了在Empire中生成HTA，我们需要使用Empire的“HTA”载荷，当然，你要想让它成功上线，你必须时刻保持正常的监听状态，下图为开启监听，并生成hta：

如上图，Empire会将它输出到一个文件中，如下图所示：

实际上该HTA的目的还是想方设法的执行PowerShell。然后，为了使用HTA文件，你需要将它托管在一个你的目标可以访问到的地方。为了让大家能更好的理解，我将该文件托管在本地，并开启本地apache服务器，网站根目录是“/var/www/html”，将“test.hta”复制到“/var/www/html”文件夹。如下图：