Microsoft Office中的文檔屬性通常包含與文檔和各種其他元數據詳細信息相關的信息。但是，此位置可用于存儲并執行SMB或HTTP服務器上托管的有效載荷的命令。這將在魚叉式網絡釣魚或紅隊評估期間為攻擊者提供一些網絡的初始訪問權限。

　　Metasploit SMB交付模塊可用于通過SMB服務器以DLL文件和PowerShell的形式提供有效載荷。

　　該模塊可以通過以下參數輕松配置：

Metasploit SMB傳輸有效載荷配置

　　將生成需要在目標上執行的命令，服務器將開始等待連接傳入。

Metasploit SMB傳輸載荷

　　由于有效載荷是一個DLL文件，Rundll32實用程序需要執行這個DLL文件。上面的命令需要添加到Word文檔的注釋部分。

Word文檔屬性 – 有效載荷

　　該文檔必須包含一個宏，執行后將觸發在注釋區域添加的命令。

文檔屬性 – Word宏

　　當用戶打開啟用宏的Word文檔并運行它時，會打開一個Meterpreter會話。

Metasploit SMB交付模塊——Meterpreter會話

　　可以通過執行以下命令與會話的開始交互：

Metasploit SMB交付模塊的會話

Metasploit SMB交付的 Meterpreter Shell

　　有一種替代方案是可以通過PowerShell來實現相同的目的。

SMB交付模塊生成PowerShell攻擊載荷

　　該模塊將生成一個代理感知的PowerShell命令，它將從UNC路徑運行有效載荷。

Metasploit SMB交付模塊生成PowerShell載荷

　　同樣，生成的PowerShell命令將需要導入到Word文檔的注釋中。

文檔屬性中的PowerShell有效內容

　　當宏執行時，將打開Meterpreter會話。

　　Metasploit SMB 交付模塊——通過PowerShell Payload的Meterpreter Shell

　　對于在員工主機中執行深度數據包檢查的企業或組織，Metasploit Web交付模塊可以為PowerShell有效載荷提供服務，并使用自定義證書來封裝所有通信。這將使這種攻擊在魚叉式釣魚場景中更加有效。

Metasploit Web 交付模塊——通過文檔屬性獲取的Meterpreter

　　結論

　　這種技術提供了一種簡單的方法在Microsoft Office文檔的文檔屬性中來隱藏惡意命令。觸發有效載荷的宏不會被認為是惡意的宏，文檔文件的注釋部分也不會被各種殺毒軟件進行檢查，因為很多殺軟是通過將文檔上傳到VirusTotal來進行檢測的。

病毒查殺總結果 —— 文檔屬性中的有效載荷

　　因此，如果目標用戶以某種方式確信打開并運行了宏，那么唯一能阻止這種攻擊的是一個主機入侵防御系統，它將丟棄Meterpreter連接，因為沒有任何東西接觸到磁盤。但是可以通過使用證書來加密連接來避開HIPS。

責任編輯：韓希宇