米乐M6 M6米乐一种针对 Microsoft Office 的自动化攻击方式

　　目前，很多软件包括 Microsoft Office 都是通过 COM 对象实现的，它们都可以使用 PowerShell（或其他语言）COM 对象来完成程序和服务的自动化操作。基于此，如果受害者机器安装了 Microsoft Office ，恶意软件就可以利用 COM 对象对目标主机进行恶意攻击。

　　我们可以使用 New-Object -com 命令创建 Excel 应用程序，然后与返回的对象进行交互。

　　下一步可以添加一个 Workbook 并将一些数据写入特定的 Cell.

　　如前所述，Office 的大部分内容都是使用 COM 接口实现的，因此我们也可以实现自动化 Outlook 的攻击。例如，为了将创建的 Excel 文档发送出去，攻击者可以使用 Outlook。

　　使用这些 COM 自动化技术，可以使安装在受感染机器上的现成应用程序来窃取数据，还可以建立完整的 C2 基础设施和消息通信。

　　将上面的两部分结合，先生成 xls 加入宏之后保存为 xlsm，之后作为附件发送至目标，最后再将本地的 Excel 文件删除。

　　这里还有个问题，就是通过 COM 调用 Outlook 发送邮件时会触发安全告警。

　　1. 选择 开始 ，然后输入 regedit。 在搜索结果中，右键单击 注册表编辑器 ，然后选择 以管理员身份运行 。

　　相同的位数安装 （在 32 位 Windows 上安装运行的 32 位办公软件或在 64 位 Windows 上安装运行的 64 位办公软件）︰

　　不同位数安装 （在 64 位 Windows 上安装运行的 32 位办公软件）︰

　　不同位元 （在 64 位 Windows 上安装运行的 32 位办公软件）︰

　　0 = 在防病毒软件处于非活动状态或过期时警告我存在可疑活动 ( 推荐 )

　　之后再次查看就生效了，然后再运行 Powershell 脚本就不会触发安全告警了。

　　本操作主要是当受害者使用的是 Outlook 邮箱，为了获取到个人 PC 权限，可以通过该脚本自动化利用本机器用户的邮箱账号批量发送钓鱼邮件。由于使用的是本机器用户的邮箱账号，可信度较高，钓鱼成功率也会随之提升。米乐M6 M6米乐米乐M6 M6米乐