严正声明：本文仅限于技术讨论与分享，严禁用于非法途径。

今天我们将探讨一款名为EvilClippy的开源工具。EvilClippy是一款专为创建恶意MS Office测试文档而设计的跨平台安全工具，它能够隐藏VBA宏和VBA代码，并且通过混淆处理来增加宏分析工具的分析难度。目前的EvilClippy版本支持在Linux、macOS和Windows平台上运行，实现了跨平台的功能。

功能介绍

1. 在GUI编辑器中隐藏VBA宏；
2. 混淆安全分析工具；
3. 执行VBA Stomping；
4. 引入VBA P-Code伪编码；
5. 设置远程VBA项目锁定保护机制；
6. 通过HTTP提供VBA Stomped模板。

工具效果

目前，该工具生成的默认Cobalt Strike宏能够绕过所有主流的反病毒产品以及宏分析工具。

技术分析

EvilClippy利用了OpenMCDF库来修改MS Office的CFBF文件，并遵循了MS-OVBA规范和特性。该工具重用了部分Kavod.VBA.Compression代码来实现压缩算法，并使用了Mono C#编译器在Linux、macOS和Windows平台上实现完美运行。

工具安装

注：跨平台编译代码可以在该项目的releases页面下获取。

对于macOS和Linux用户，确保安装了Mono，然后运行以下命令：

mcs/reference:OpenMcdf.dll,System.IO.Compression.FileSystem.dll/out:EvilClippy.exe *.cs

然后运行EvilClippy：

mono EvilClippy.exe –h

对于Windows用户，确保安装了Visual Studio，然后在Visual Studio开发者命令行窗口中输入以下命令：

csc/reference:OpenMcdf.dll,System.IO.Compression.FileSystem.dll/out:EvilClippy.exe *.cs

然后在命令行中运行EvilClippy：

EvilClippy.exe –h

工具使用

显示帮助信息：

EvilClippy.exe –h

在GUI中隐藏宏：

EvilClippy.exe -g macrofile.doc

执行VBA Stomp（P-Code伪编码）：

EvilClippy.exe -s fakecode.vba macrofile.doc

为VBA Stomping设置目标Office版本信息：

EvilClippy.exe -s fakecode.vba -t 2016x86 macrofile.doc

设置随机模块名（混淆安全分析工具）：

EvilClippy.exe -r macrofile.doc

通过HTTP提供VBA Stomp模板：

EvilClippy.exe -s fakecode.vba -w 8080 macrofile.dot

设置远程VBA项目锁定保护：

EvilClippy.exe -u macrofile.doc

解除保护：

EvilClippy.exe -uu macrofile.doc

项目地址

EvilClippy：https://www./link/9366088bf5e4cc99d4d04ed9f2940d24

参考资料

1. https://www./link/6acf2725b339ee1695ebf86253f75221
2. https://www./link/a0d26bf79de52c1ebbcb63c52542825f
3. https://www./link/1fcf9224f1f09a97ad293c680a215696

*参考来源：outflanknl，FB小编Alpha_h4ck编译，转载请注明来自FreeBuf.COM