怎么利用Outlook應用程序接口執行Shellcode

本篇內容介紹了“怎么利用Outlook應用程序接口執行Shellcode”的有關(guān)知識，在實(shí)際案例的操作過(guò)程中，不少人都會(huì )遇到這樣的困境，接下來(lái)就讓小編帶領(lǐng)大家學(xué)習一下如何處理這些情況吧！希望大家仔細閱讀，能夠學(xué)有所成！

BadOutlook

BadOutlook是一款?lèi)阂釵utlook讀取器，也是一個(gè)簡(jiǎn)單的概念驗證PoC，它可以利用Outlook應用程序接口（COM接口）并根據特定的觸發(fā)主題欄內容來(lái)在目標系統上執行Shellcode。

通過(guò)利用Microsoft.Office.Interop.Outlook命名空間，開(kāi)發(fā)人員可以代表整個(gè)Outlook應用程序來(lái)做任何事情。這也就意味著(zhù)， 新的應用程序可以做很多事情，比如說(shuō)閱讀電子郵件、查看文檔或回收站、以及發(fā)送郵件等等。

如果預先包含了C# Shellcode加載器的話(huà)，攻擊者將能夠利用武器化的應用程序實(shí)例將一封帶有觸發(fā)器主題欄內容以及Base64編碼Shellcode郵件Body內容的惡意電子郵件發(fā)送至目標主機。應用程序之后將能夠讀取這封惡意電子郵件，并在目標主機中執行嵌入在惡意電子郵件中的Shellcode。

注意事項

• 我們可以使用這個(gè)PoC來(lái)構建一個(gè)完整的C2框架，它依賴(lài)于電子郵件作為一種通信手段（在這種情況下，植入的惡意代碼從不直接與互聯(lián)網(wǎng)通信）；

• 有可能會(huì )彈出安全警告，并通知用戶(hù)某個(gè)應用程序正在試圖訪(fǎng)問(wèn)Outlook數據；

• 當管理員修改注冊表時(shí)，可以將其關(guān)閉；

• 測試表明，將此進(jìn)程注入到Outlook客戶(hù)端不會(huì )導致出現警報；

源碼獲取

廣大研究人員可以使用下列命令將該PoC項目源碼克隆至本地：

git clone https://github.com/S4R1N/BadOutlook.git

概念驗證PoC

Outlook應用程序觸發(fā)器：

創(chuàng )建Shellcode觸發(fā)郵件事件：

Outlook客戶(hù)端接收電子郵件：

BadOutlook應用程序執行Shellcode：