В этой статье хочу затронуть инстурмент Macrome. Если в кратце, то Macrome создает документ Excel, содержащий обфусцированный лист макросов, используя предоставленный документ и полезную нагрузку макроса. Инструменту уже не первый год, но и сейчас он может найти свое применение, так как в его основе Excel 4.0
Но для начала, покажу как работают макросы в Excel на примере Hello World XLM
Шаг 1: Вставить макрос
Создайте новую рабочую книгу Excel. Щелкните «Лист1» в нижней части экрана и нажмите «Вставить».
Всплывает окно, которое позволяет выбирать из различных объектов для вставки. Выберите «MS Excel 4.0 Macro» и нажмите «ОК».
Шаг 2: Пишем свой макрос
Мы создали новый рабочий лист под названием «Macro1». Это специальный тип рабочего листа, в который могут быть введены макросы XLM (так называемый макролист). Нажмите на любую ячейку и введите формулы «=EXEC(“calc.exe”)”, «=ALERT(“Jello world») и «=HALT()» в этой ячейке и последующих ячеек ниже.
Шаг 3: Запустить макрос
Чтобы проверить свой макрос, щелкните правой кнопкой мыши по первой ячейке, содержащей ваш макрокод, и выберите «Запустить». Всплывет новое окно. Это должно содержать имя первой ячейки, содержащей ваш макрокод. Нажмите «Запустить», чтобы выполнить макрос и вы увидите калькулятор и всплывающее окно.
Если вы хотите, чтобы ваш макрос работал автоматически при открытии, переименуйте первую ячейку вашего макроса в «Auto_open».
Также вы можете скрыть свой рабочий лист, нажав правой кнопкой мыши на имя листа («Macro1») и выбрать «Скрыть». Макросы будут работать от скрытых листов.
Так и выглядит самая простая эксплуатация, теперь ты знаешь про Excel больше, чем большинство его пользователей.
Теперь, касательно Macrome
Все, что мы до этого делали руками Macrome делает автоматически.Он позволяет менять режим кодирования полезной нагрузки, сами макросы вы сможете увидеть в примерах, написать самостоятельно, либо при помощи
. Macrome 0.3.0+ поддерживает защиту паролем документов с использованием XOR Obfuscation, устаревшего режима шифрования от гораздо более старых версий Office. Этот режим шифрования часто не поддерживается IR-инструментами и может помочь защитить содержимое документов от проверки.
Более подробно про возможный функционал и его описание
malware.pizza
Репозиторий на
Но для начала, покажу как работают макросы в Excel на примере Hello World XLM
Шаг 1: Вставить макрос
Создайте новую рабочую книгу Excel. Щелкните «Лист1» в нижней части экрана и нажмите «Вставить».
Всплывает окно, которое позволяет выбирать из различных объектов для вставки. Выберите «MS Excel 4.0 Macro» и нажмите «ОК».
Шаг 2: Пишем свой макрос
Мы создали новый рабочий лист под названием «Macro1». Это специальный тип рабочего листа, в который могут быть введены макросы XLM (так называемый макролист). Нажмите на любую ячейку и введите формулы «=EXEC(“calc.exe”)”, «=ALERT(“Jello world») и «=HALT()» в этой ячейке и последующих ячеек ниже.
Шаг 3: Запустить макрос
Чтобы проверить свой макрос, щелкните правой кнопкой мыши по первой ячейке, содержащей ваш макрокод, и выберите «Запустить». Всплывет новое окно. Это должно содержать имя первой ячейки, содержащей ваш макрокод. Нажмите «Запустить», чтобы выполнить макрос и вы увидите калькулятор и всплывающее окно.
Если вы хотите, чтобы ваш макрос работал автоматически при открытии, переименуйте первую ячейку вашего макроса в «Auto_open».
Также вы можете скрыть свой рабочий лист, нажав правой кнопкой мыши на имя листа («Macro1») и выбрать «Скрыть». Макросы будут работать от скрытых листов.
Так и выглядит самая простая эксплуатация, теперь ты знаешь про Excel больше, чем большинство его пользователей.
Теперь, касательно Macrome
Все, что мы до этого делали руками Macrome делает автоматически.Он позволяет менять режим кодирования полезной нагрузки, сами макросы вы сможете увидеть в примерах, написать самостоятельно, либо при помощи
GitHub - RedSiege/EXCELntDonut: Excel 4.0 (XLM) Macro Generator for injecting DLLs and EXEs into memory.
Excel 4.0 (XLM) Macro Generator for injecting DLLs and EXEs into memory. - RedSiege/EXCELntDonut
github.com
Более подробно про возможный функционал и его описание
Evading Detection with Excel 4.0 Macros and the BIFF8 XLS Format
Abusing legacy functionality built into the Microsoft Office suite is a tale as old as time. One functionality that is popular with red teamers and maldoc authors is using Excel 4.0 Macros to embed…
malware.pizza
GitHub - michaelweber/Macrome: Excel Macro Document Reader/Writer for Red Teamers & Analysts
Excel Macro Document Reader/Writer for Red Teamers & Analysts - michaelweber/Macrome
github.com
Всех благ!
