揭秘如何使用跨平台的EvilClippy创建恶意MS Office文档

*严正声明：文中仅限技术性探讨与共享，禁止用以不法方式。

今日给大伙儿详细介绍的是这款全名是EvilClippy的开源系统专用工具，EvilClippy是这款专用型于建立故意AS Office检测文本文档的跨平台安全工具，它能够掩藏VBA宏和VBA编码，而且能够对宏代码开展搞混解决以提升宏剖析专用工具的剖析难度系数。当今版本号的EvilClippy适用在Linux、macOS和Windows服务平台上运作，建立了跨平台特点。

作用详细介绍

1、 在GUI编辑器中掩藏VBA宏；

2、 搞混安全性剖析专用工具；

3、 VBA Stomping；

4、 导入VBA P-Code伪编号；

5、 设定远程控制VBA新项目锁住维护体制；

6、 根据.com出示VBA Stomped模版；

专用工具实际效果

现阶段，该专用工具转化成的默认设置Cobalt Strike宏能够绕开全部流行的反病毒商品及其宏剖析专用工具。

技术指标分析

EvilClippy应用了OpenMCDF库来改动AS Office的CFBF文档，并运用了AS-OVBA标准和特点。该专用工具任用了一部分Kavod.VBA.Compression编码来建立压缩算法，而且应用了Mono C#编译器建立了在Linux、macOS和Windows服务平台上的极致运作。

专用工具安裝

注：跨平台编译编码能够在此项目地releases网页页面下获得。

macOS和Linux

保证装上Mono，随后运作下述指令：

mcs/reference:OpenMcdf.dll,System.UND.Compression.FileSystem.dll/Out:EvilClippy.exe *.cs

随后运作EvilClippy：

mono EvilClippy.exe –h

Windows

保证装上Visual Studio，随后在Visual Studio开发人员命令行对话框中键入下述指令：

csc/reference:OpenMcdf.dll,System.UND.Compression.FileSystem.dll/Out:EvilClippy.exe *.cs

随后在命令行中运作EvilClippy：

EvilClippy.exe –h

专用工具应用

显示信息协助信息内容

EvilClippy.exe –h

在GUI中掩藏宏

EvilClippy.exe -g macrofile.doc

VBA Stomp（P-Code伪编号）

EvilClippy.exe -s fakecode.vba macrofile.doc

为VBA Stomping设定总体目标Office版本信息

EvilClippy.exe -s fakecode.vba -t 2014x86 macrofile.doc

设定任意控制模块名（搞混安全性剖析专用工具）

EvilClippy.exe -r macrofile.doc

根据.com出示VBA Stomp模版；

EvilClippy.exe -s fakecode.vba -w 8080 macrofile.dot

设定远程控制VBA新项目锁住维护

EvilClippy.exe -u macrofile.doc

消除维护：

EvilClippy.exe -uu macrofile.doc

新项目详细地址

EvilClippy：【GitHub传送门】

参考文献

1、  https://outflank.nl/blog/2016/12/29/recordings-of-our-derbycon-little-brucon-presentations/

2、  https://vbastomp.Com/

3、  https://github.Com/bontchev/pcodedmp