利用PowerPoint进行钓鱼攻击

作者：Carrie Roberts & Chevy Swanson

注意： 本博文中提到的技术和工具可能已过时，不适用于当前环境。但本文仍可作为学习资料，并可能被用于更新或整合到现代工具和技术中。

如何确保人们打开我们的恶意文件并执行？我们只需利用微软多年来建立的用户信任，然后在PowerPoint中嵌入一些危险的宏，人们甚至会面带微笑地打开它。

另一篇优秀的博文详细介绍了宏本身以及如何规避防病毒软件。本文则增加了一个技巧，使得文件一旦打开，宏就能立即运行，无需用户进行额外操作，如点击或生成鼠标悬停事件。这个技巧专门针对PowerPoint而设计，因为它不像Microsoft Word和Excel那样提供Auto_Open或Workbook_Open选项。

本文将介绍如何通过屏幕顶部的友好警告横幅，在用户启用宏后立即运行你的宏。

首先，我们需要打开PowerPoint演示文稿，如果尚未添加"开发人员"选项卡，请先添加它。

在开发人员选项卡中，点击最左侧的"Visual Basic"按钮，这将打开一个新窗口。接下来，转到插入>模块，在这里你可以添加宏。在这个例子中，我们将打开一个消息框。

或者，如果你只想复制文本：

1
2
3

Sub Run_On_Open()
    MsgBox "Run_On_Open just ran"
End Sub

当然，如果这是一个实际的恶意尝试，你会在这里放置规避防病毒的负载，如Sally的博文所示。

将PowerPoint保存为.pptm文件并暂时关闭。现在有两种方法可以完成接下来的步骤：快速方法和稍慢的方法。快速方法是使用名为CustomUI Editor的程序，你可以在这里找到使用教程。我们不能推荐使用任何随机的.msi文件，因此我们将采用更手动的选项。

首先，你需要将PowerPoint文件解压缩到自己的目录中，然后编辑_rels/.rels文件，在最后一个之前添加这一行：

1
2

<Relationship Type="http://schemas.microsoft.com/office/2006/relationships/ui/extensibility"
Target="/customUI/customUI.xml" Id="Rd6e72c29d34a427e" />

接下来，你需要在与_rels目录相同的级别创建一个新目录。

在这个新目录中创建一个名为customUI.xml的文件，并添加以下文本：

1
2
3

<customUI xmlns="http://schemas.microsoft.com/office/2006/01/customui"
onLoad="Run_On_Open" >
</customUI>

将文件重新压缩。如果你使用的是Mac，请确保排除.DS_store文件。

1

zip -r newRunOnOpen.pptm . -x "*.DS_Store"

确保使用.pptm扩展名命名，因为PowerPoint必须能够加载我们创建的自定义功能区。现在，你的宏应该在打开PowerPoint时运行（一旦启用宏）。

你可以从Carrie的课程中学到更多！ 查看这里： 攻击模拟工具：Atomic Red Team、CALDERA等 PowerShell用于信息安全 提供实时/虚拟和点播课程！