蓝：破解office宏代码密码保护

一. 背景

2020年2月初，印度APT组织“蔓灵花”借助武汉疫情为题发起恶意攻击。在此次攻击中包含一个名为“武汉旅行信息收集申请表.xlsm”利用宏代码攻击的恶意文件。

二. 细节分析

打开文档，ALT+F11调出宏代码，发现该宏代码进行了加密。

将该文件重命名为zip文件，双击压缩包，找打压缩包内的vbaProject.bin文件。使用notepad++打开找到DPB部分。

将DPB更改为DPBx(随意)，保存后重新放入到压缩包内，并将压缩包还原为xlsm文件。

双击打开文件，ALT+F11进入宏代码窗口，右键属性。

找到保护，填入新的账号密码。

再次双击，即可查看宏代码

该文档中包含恶意宏代码，通过scrobj.dll链接到http://**.**.184.67/window.sct，进而下载window.sct。