红蓝对抗-安装包钓鱼与反钓鱼

  • A+
所属分类:安全文章


红蓝对抗-安装包钓鱼与反钓鱼

前言

文件钓鱼是红蓝对抗中红队经常使用的攻击手段,相反蓝队也可以通过反钓鱼的手段来对红队进行反制,获取分值。

红队钓鱼利用

伴随着邮件沙箱,恶意行为检测等技术的发展,传统文件钓鱼攻击严重增加,可以使用dll劫持技术劫持一个正常的软件,进行重打包。然后以版本更新或其他理由进行下发,通过安装过程逼真且安装后软件可以正常使用,因此可以大大降低目标的警觉性。

蓝队反钓鱼利用

随着红蓝对抗的常态化,蓝队反制红队的手段也逐渐被认识,出现越来越多的蜜罐系统,蜜罐主机,甚至蜜罐内网,反钓鱼也逐渐被蓝队意识到,通过在服务器上随意放置钓鱼文件,吸引红队主动下载安装,完成反钓鱼。

dll劫持

首先准备恶意dll文件,可以选择cs和msf生成的dll文件,也可以自己制作免杀的dll文件。
这里我使用cs自带的dll木马进行演示。
红蓝对抗-安装包钓鱼与反钓鱼
然后选择想要劫持的正常软件,这里以蓝队反钓鱼进行演示,选择劫持某人vpn。
首先下载安装某人vpn。
红蓝对抗-安装包钓鱼与反钓鱼
开始进行劫持,有窗户逆向基础的可以手动进行劫持,这里我直接使用拿破轮胎的一键dll注入工具。
红蓝对抗-安装包钓鱼与反钓鱼
点击劫持文件,选择生成成功的dll文件和目标某人vpn的exe文件,把dll文件注入到导入表中。
红蓝对抗-安装包钓鱼与反钓鱼
提示导入成功,然后把恶意dll和exe放到一个目录下
红蓝对抗-安装包钓鱼与反钓鱼
dll文件被成功加入目标exe的导入表。
红蓝对抗-安装包钓鱼与反钓鱼
双击运行,cs成功接收到会话,劫持成功。
红蓝对抗-安装包钓鱼与反钓鱼

重打包安装包

下一步将已经被dll劫持的某人vpn进行重新打包成安装包。在
这里使用NSIS工具。
下载安装nsis工具http://www.pc6.com/softview/SoftView_14342.html
红蓝对抗-安装包钓鱼与反钓鱼
点击可视化脚本编辑器,选择使用脚本向导创建新的脚本文件。
红蓝对抗-安装包钓鱼与反钓鱼
配置对应的应用程序信息,单击下一步。
红蓝对抗-安装包钓鱼与反钓鱼
选择对应安装程序的图标文件,以及名称,继续下一步。
红蓝对抗-安装包钓鱼与反钓鱼
使用替换设置,继续下一步。
红蓝对抗-安装包钓鱼与反钓鱼
继续下一步。
红蓝对抗-安装包钓鱼与反钓鱼
指定劫持过的应用程序文件夹,注意重置包含子目录。
红蓝对抗-安装包钓鱼与反钓鱼
编辑快捷方式。
红蓝对抗-安装包钓鱼与反钓鱼
设置安装完成后自动运行。
红蓝对抗-安装包钓鱼与反钓鱼
使用开关设置。
红蓝对抗-安装包钓鱼与反钓鱼
向导完成。
红蓝对抗-安装包钓鱼与反钓鱼
编译打包成功。
红蓝对抗-安装包钓鱼与反钓鱼
运行打包后的安装程序。
红蓝对抗-安装包钓鱼与反钓鱼
红蓝对抗-安装包钓鱼与反钓鱼
成功运行,cs成功上线。
发现快捷方式没有创建成功,修改代码增加快捷方式,重新编译打包。

CreateShortCut "$DESKTOPEasyConnectdll.lnk" "$INSTDIRSangforCSClientSangforCSClient.exe" "" "$INSTDIRSangforCSClientEasyConnect.ico"


红蓝对抗-安装包钓鱼与反钓鱼
成功生成快捷方式,cs上线。
红蓝对抗-安装包钓鱼与反钓鱼
想到的实战中蓝队应用思路有:
1、配合蜜罐系统,蜜罐主机,蜜罐内网使用。
2、在网站目录下伪造一个www.rar,并把vpn安装包和密码放入其中,吸引红队人员安装。
3、放置于可能被攻陷的服务器上,一旦被点击安装,即说明服务器已沦陷,从而进行反制。
等等...
红蓝对抗-安装包钓鱼与反钓鱼

坑点

1,当exe关闭后,dll运行也被终止,因此当目标上线后需要第一时间迁移会话到其他运行的程序上。

inject 9268 x64

红蓝对抗-安装包钓鱼与反钓鱼
2,cs或者msf自动生成的dll文件会被杀软检测到,因为需要自己去制作免杀的dll文件。
可以通过shellcode加载器,分离免杀,powershell免杀等思路去制作dll文件。
使用了团队雨夜师傅远程远程注入的免杀方式,制作了dll文件,成功bypass360。
远控免杀从入门到实践(8)-shellcode免杀实践
红蓝对抗-安装包钓鱼与反钓鱼
cs成功上线。
红蓝对抗-安装包钓鱼与反钓鱼

总结

以后遇到这种情况一定要冷静,谨慎,多思考,防止被反钓鱼〜

参考链接

https://mp.weixin.qq.com/s/qjM7Fh0u0Edsz5C7L_ErGQ
https://uknowsec.cn/posts/notes/DLL%E5%8A%AB%E6%8C%81+%E9%87%8D%E6% 96%B0%E5%88%B6%E4%BD%9C%E5%AE%89%E8%A3%85%E5%8C%85%E5%9C%A8%E9%92%93%E9%B1% BC%E4%B8%8E%E5%8F%8D%E9%92%93%E9%B1%BC%E7%9A%84%E5%88%A9%E7%94%A8.html
https://www.cnblogs.com/modou/p/3573772.html
https://www.freebuf.com/articles/system/228233.html


E


N


D








Tide安全团队正式成立于2019年1月,是新潮信息旗下以互联网攻防技术研究为目标的安全团队,团队致力于分享高质量原创文章、开源安全工具、交流安全技术,研究方向覆盖网络攻防、系统安全、Web安全、移动终端、安全开发、物联网/工控安全/AI安全等多个领域。

团队作为“省级等保关键技术实验室”先后与哈工大、齐鲁银行、聊城大学、交通学院等多个高校名企建立联合技术实验室,近三年来在网络安全技术方面开展研发项目60余项,获得各类自主知识产权30余项,省市级科技项目立项20余项,研究成果应用于产品核心技术研究、国家重点科技项目攻关、专业安全服务等。对安全感兴趣的小伙伴可以加入或关注我们。

红蓝对抗-安装包钓鱼与反钓鱼


红蓝对抗-安装包钓鱼与反钓鱼我知道你在看

红蓝对抗-安装包钓鱼与反钓鱼

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: