跨平台宏钓鱼攻击Payload的介绍及使用方式

"针对渗透测试工作人员而言，根据Microsoft Office Word文本文档或电子表格excel表来建立网络钓鱼是这种十分常用的技术性，而随之很多的公司刚开始布署mac电脑终端设备，跨平台的故意宏Payload也慢慢变得更加关键了。 

以前的科学研究

来源于Black Hills安全性企业的科学研究精英团队现阶段可以应用Empire并根据手动式方法转化成跨平台的故意宏Payload，而我们的精英团队还可以根据相互配合Empire和Cobalt Strike Payload来转化成故意Office宏Payload。如今，最艰难的那一部分工作中我们早已帮大伙儿进行了：我们应用场景@enigma0x3和@harmj0y的初始故意宏控制模块开发设计了这款最新版本的Empire控制模块，而这一新的控制模块可以适用Windows和mac电脑服务平台。

Empire新项目首页

【点我浏览】

专用工具介绍

在Empire中，我们必须设定1个监听器，随后运行命令“usestager multi/macro” ，指令后边再加”info”便可以查询到有关的设定选择项及其详细介绍信息内容：

指令运作以后，将会转化成1个宏，你能立即将其拷贝到宏编辑器下载中，以后你可以立即将其发给你的总体目标客户。

在宏文档运行以后，它最先会检验当今的运作服务平台及自然环境，要是当今自然环境为macOS得话，它将会载入Office 016 For mac电脑版需要的某些dylib文档（默认设置运作在macOS沙箱自然环境中）。当故意Office文本文档被开启以后，宏的作用便会被开启。

接下去，文本文档还会检验当今的电脑操作系统版本号。要是是macOS，故意宏将会根据shell指令启用curl来浏览1个跟踪URL。宏Payload剩下的一部分跟以前对于mac电脑的Empire宏Payload相近，全是某些Python Payload。要是是Windows，宏将会启用XMLHTTP并浏览1个跟踪URL，而剩下一部分则是跟Windows的Empire宏Payload相近，全是某些PowerShell Payload。

跟踪URL能够协助网络攻击来剖析和分辨文本文档是不是被开启过（不涉及到Shell指令，由于终端设备维护专用工具或互联网IPS有将会屏蔽掉代码执行或通信信息内容），默认设置配备下跟踪URL对准的是localhost，只有客户还可以自主挑选应用第三方平台清晰度/广告词跟踪服务项目或应用自个的web网络服务器及其网站域名来配备Empire选择项中的跟踪URL。

要是你要依据总体目标电脑操作系统来挑选应用不一样种类的Payload，你能应用Empire来转化成跨平台宏随后替换成掉宏文档中不一样电脑操作系统一部分的Payload编码。例如，你能转化成1个Gobalt Strike宏payload，随后将其拷贝到Windows Empire Payload中，合用新转化成的Empire跨平台宏替换成掉编码中相关Windows的哪个一部分。与此同时，我们不但能够应用许多新的作用，并且依然可以维持故意宏的跨平台特点。

在macOS中，即便处在沙盒游戏自然环境，网络攻击依然能够运用存有系统漏洞的AppleScript（“osascript”）专用工具来转化成垂钓对话框并试着蒙骗客户键入自个的登陆密码，只有沙盒游戏的限定依然会对该专用工具造成危害。因而，我们精英团队的@DisK0nn3cT向Empire控制模块中加上了1个有关沙盒游戏方式的新作用（“usemodule python/collection/prompt”），并可以运用macOS文档相对路径来绕开一些沙盒游戏限定，因而网络攻击依然能够在macOS下开启垂钓对话框。