如何创建Powershell持久隐蔽后门

用户开机后每次运行特定的快捷方式文件时触发一段恶意的powershell 代码,原始应用程序仍然启动,原始图标保留,并且没有powershell.exe窗口弹出。

1、安装后门

这次需要用到powershell攻击框架Empire,使用Empire/data/module_source/persistence/Invoke-BackdoorLNK.ps1这个脚本

-LNKPath是要利用的lnk的路径,每次打开这个lnk文件时都会执行原始的应用程序和 -EncScript后面的恶意powershell代码

先通过empire生成反弹的powershell代码

./empire 进入empire

输入listeners 进入监听界面 设置好ip与端口

launcher 1 生成power shell代码

这里我们只复制 -Enc 后面的代码

然后执行

看到以上界面就代表后门安装完成

当我们运行navicat快捷方式的同时 可以看到powershell.exe已经悄悄的链接empire

2、实现原理

它会将原来快捷目标修改为powershell.exe的地址,并且利用powershell去运行navicat程序与恶意代码。

解密后的代码

点击快捷方式后先执行快捷方式原来链接的目标,然后在注册表读取HKCU:\Software\Microsoft\Windows\debug的值运行(后门安装时把执行的代码加密后放到了HKCU:\Software\Microsoft\Windows\debug里面)

3、后门的清除

执行 以下命令清除后门

4、总结

利用快捷方式去攻击,已经是一个很老的话题了,但是有时候渗透中添加启动项/服务/任务计划失败的情况下可以尝试用此方法,劫持一个经常使用的程序快捷方式,达到权限维持的效果,windows下基于powershell的攻击方式也会越来越强大。

参考文献:github,文章相关请联系qq:195062545

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2017-05-08

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏hbbliyong

Visual Studio 2013 添加新项缺失[ADO.NET 实体数据模型]解决方法

      之前使用在Vs2012下使用SQLite+EF建的项目在VS2013下不能运行了,我把以前的*.edmx删除后准备重新添加以下 .可是,在添加新项目...

3716
来自专栏开源FPGA

Vivado 2017封装自定义IP Core

  使用Vivado2017.3自定义IP Core。通常情况下,我们做设计采用模块化设计,对于已经设计好的一部分模块功能,就可以直接拿来调用,IP Core就...

51210
来自专栏张善友的专栏

VS 2010 SP1的一个功能(添加可部署依赖项)

使用“添加可部署的依赖项”对话框,您可以将程序集(DLL 文件)添加到网站项目或 Web 应用程序项目。 在部署网站或应用程序时,将文件包含在部署项目中。 如果...

1897
来自专栏蓝天

SSH2免密码登录OpenSSH

执行成功后,会在~/.ssh2目录下生成两个文件:id_rsa_2048_a和id_rsa_2048_a.pub,其中id_rsa_2048_a是私钥文件,...

1602
来自专栏玄魂工作室

asp.net core开发环境准备

1.1 安装sdk和运行时 浏览器打开网址https://www.microsoft.com/net/download, 到.Net Core下载页面。 ? ...

3443
来自专栏weixuqin 的专栏

使用U盘安装 OS X 的坑

32710
来自专栏我和未来有约会

使用动态语言来制作silverlight

在silverlight beta 2 中已经支持了动态语言.但是在Visual Studio 和 Experssion Blend中还没有使用动态语言的模版....

2097
来自专栏电光石火

Intellij idea 的maven项目自动下载jar包

在Intellij IDEA中配置maven:  打开-File-Settings  (1) maven文件夹目录,自动搜索到  (2) 选中Overr...

4509
来自专栏哲学驱动设计

分享 MSDN 下载工具(Word/PDF)

给大伙分享一个最近出炉的 MSDN 到 Word/PDF 转换器。我已经用它转换了 WPF、VSPackage、WWF 等 MSDN 章节为 PDF。 介绍 下...

26710
来自专栏乐沙弥的世界

Linux 前后台作业切换及脱机管理

    Linux bash shell单一终端界面下,我们经常需要管理或同时完成多个作业,如一边执行编译,一边实现数据备份,以及执行SQL查询等其他的任务。所...

1301

扫码关注云+社区

领取腾讯云代金券