专栏首页黑白安全木马伪装-后门木马变形记

木马伪装-后门木马变形记

在做安全测试时,种个后门养个马在所难免,常见的后门有exe、bat、scr、vb等格式,可是凡是有点安全意识的都不会去下载、双击打开,那给后门穿件衣裳可好。metasploit堪称渗透神器,经常用它来生成后门文件,来拿服务器权限。此处就以metasploit生成个exe后门为例,看她如何华丽转身。

准备工作:

test.exe 利用msfvenom提前生成的后门 index.jpg 一张图片 Resource_Hacker 给后门穿个马夹 Unitrix 实现完美转身

1、index.jpg转换为ico格式

访问url https://icoconvert.com/,上传index.jpg,通过在线转换,即可生成.ico文件,我的index.jpg变身后模样如下:

2、利用Resource_Hacker给后门穿件马夹

打开Resource_Hacker,通过file—>open导入我们提前生成的后门test.exe

导入成功后左边导航栏会出现version info的文件夹

点击Add Binary or Image Resourc(下图标红功能),弹出如下对话框,selectfile选择之前生成的.ico文件

点击 Add Resource,点击完成后如下图

最后点击保存,这个时候我们的后门已经穿好马夹,如下

俗话说人靠衣装马靠鞍,此时看是不是更像一张图片啊,此处可以把后缀修改为test.jpg.scr,防范意识小的用户也许就双击运行了,但是这个.exe是不是还是看着有点碍眼啊,接下来,看我们如何干掉这个后缀。

3、 利用Unitrix实现完美变身

最开始我还以为Unitrix是个小工具,通过查资料才发现,原来Unitrix是一个病毒名称,此病毒就是利用在文件名中插入unicode字符,来实现文件名以相反顺序显示。

点击文件进行重命名,在jpg前插入unicode字符,其实插入的是个由右向左显示的unicode字符

插入完成后见证奇迹的时候到了,像不像个图片呀,你还会以为他是个后门么?

打开metasploit开启监听模式,当被攻击装双击打开该图片后,可看到鱼儿上线啦

为了更好的理解这个命名原理,对重命名前和重命名后做个对比,需要从哪个字符开始就从哪个字符前插入RLO unicode,原理明白后在进行操作时才能灵活应对。

通过自己测试,在win10下不能通过这种方法修改名称,但是win7下可以正常修改;另外在win7下过长的文件名会出现文件名换行的情况,如下图

这个时候在jpg前插入RLO会发现,字符反转到 . 结束并没有达到我们要的效果,如下图,通过反复尝试发现原来是由于文件名太长出现换行导致。

解决这个问题很简单,把这个文件拖到文件夹下即可,此时在插入ROL即可成功

最后:伪装的木马虽然骗的了我们的眼睛,但是骗不过杀毒软件,只有免杀的木马穿上这件马夹才能碰撞出更激情的火花,实现华丽转身。

文件参考:

https://null-byte.wonderhowto.com/how-to/hide-virus-inside-fake-picture-0168183/

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 后门攻击

    后门程序是一种恶意软件类型,它会阻止正常的身份验证过程访问系统。因此,远程访问被授予应用程序内的资源,例如数据库和文件服务器,从而使犯罪者能够远程发布系统命令并...

    周俊辉
  • 常见后门解释

    现实生活中有前门后门之分,前门一般守卫严格,难以突破,然而后门计较隐蔽,部位广大人们所知道,所以守卫比较松懈基本无人问津,所以后门的安全性很弱不能跟前门相比。在...

    周俊辉
  • 别动我的shell

    [sourcecode language="plain"]root@kali:~# msfvenom -p windows/shell_hidden_bind_...

    周俊辉
  • 2018区块链技术与场景落地峰会改期为

    接到相关部门通知,2018区块链技术与场景落地峰会原定于上海虹桥假日酒店的9月6日至7日的活动档期无法举行,大会改期至地点:北京国际会议中心举办于9月25日至...

    先进制造
  • Windows 环境下 Oracle11gR2 的安装与卸载

    Oracle Database,又名 Oracle RDBMS,或简称 Oracle。是甲骨文公司的一款关系数据库管理系统。它是在数据库领域一直处于领先地位的产...

    JiekeXu之路
  • 如何修复Ubuntu 14.04 系统设置丢失的问题

    其实遇到这个问题的一个最主要的原因是之前执行过卸载ibus输入法的操作,所以为了避免这个问题请不要卸载ibus输入法,大家依然可以安装fcitx输入法使用。

    汐楓
  • 【MySQL (四) | 五分钟搞清楚InnoDB锁机制】

    表锁是锁定了整个表,在加锁期间,无论读写,这个表的数据都是锁定的,相反行锁只是锁定了这个表中的一条数据,其他数据仍然可以操作,这就可很好的提高了数据库的并发性能...

    周三不加班
  • ios逆向工具MonkeyDev简介

    MonkeyDev简介 虽然是米国的苹果开发的的的我操作系统系统,但是要论越狱iPhone和逆向分析来说,那国内远胜于米国了,可能是国内很多相关的灰色产业链吧。...

    xiangzhihong
  • 代理模式 PROXY Surrogate 结构型 设计模式(十四)

    代理角色和真实对象角色拥有共同的抽象类型,他们拥有相同的对外接口request()方法

    noteless
  • 一份优秀的简历该长成什么样

    作为一个面试官,我个人面试过不下百份简历,几个硬伤,我在之前的文章也提到过,大家在写的时候一定要避免:

    暴走大数据

扫码关注云+社区

领取腾讯云代金券