近期卡巴斯基的研究人员发布了针对DeathStalker的追加分析报告，攻击者对攻击链的隐蔽性进行了较大的改进，在宏文档攻击日渐式微的今天带来一些新鲜的检测对抗思路。本文将对攻击者在宏文档攻击及Python恶意载荷中一些值得关注的防御规避技术进行分析研判。

攻击链：远程DOTM模板加载执行VBA代码，释放执行自定义RAT

亮点1 VBA Stomping技术

Office文档中的宏通常存储于三个位置：

• VBA宏源码，用户宏编辑器中查看的版本

• P-code，预编译的宏代码，适用于某个特定Office版本

• Execodes，P-code执行后产生的进一步的字节码

执行P-code失败后的伪装弹窗

亮点2 宏代码中利用图片插入API发送HTTP请求

在宏代码执行过程中，攻击者巧妙利用支持图片插入API发送HTTP请求实现数据渗出，规避对宏文档中常见WEB请求API调用的静态检测。

Shapes.AddPicture方法原本用于将图片添加到文档画布中，该方法的首个参数FileName的含义为插入的图像文件的路径（本地或远程），支持URL形式请求指定远程图片。

Shapes.AddPicture (FileName, LinkToFile, SaveWithDocument, Left, Top, Width, Height)

'向画布添加本地图片
 shpCanvas.CanvasItems.AddPicture _ 
 FileName:="C:\Program Files\Microsoft Office\" & _ 
 "Office\Bitmaps\Styles\stone.bmp", _ 
 LinkToFile:=False, SaveWithDocument:=True 

复现：利用AddPicture方法发送GET请求

亮点3 Python字节码花指令对抗静态分析工具

攻击者利用py2exe工具对RAT加载器进行封装，原始Python脚本被编译为pyc模块与精简的Python运行时打包后一起分发，通常利用uncompyle6等工具即可反编译获取原始脚本的伪代码。

攻击者通过在Python字节码层面插入花指令，有效对抗了常见工具的静态逆向分析：

• 可执行但是不产生实际效果

• 插入迷惑性分支与异常处理

• 插入始终不会执行到的畸形代码以破坏反编译

插入垃圾代码破坏Python字节码反编译，右侧去除了花指令

#读取常数到栈顶
LOAD_CONST xx
#移除栈顶元素
POP_TOP
#交换栈顶两个元素，执行两次无效化
ROT_TWO
ROT_TWO
#交换栈顶三个元素位置，执行三次无效化
ROT_THREE
ROT_THREE
ROT_THREE