一.cs生成payload.c
设置好监听:
生成payload.c:
保存:
二. 初步免杀生成EXE文件
使用某免杀工具生成exe文件。
生成以下可执行文件;
|
|
放到“1”文件夹下,使用电脑系统自带某绒静态查杀:
|
|
发现会被检测出来,需要进行后续处理。
三. 加壳免杀处理
该步骤的目的是令文件可通过电脑系统自带某绒静态查杀。
这里笔者使用的是themida加壳软件,效果还不错,但也只能过系统自带某绒。想要的可以点链接下载:
链接:https://pan.baidu.com/s/153AuS8naDELB1_UvhMmTSg提取码:suga
*左右滑动查看更多
|
|
解压完有两个exe文件,一个是用来给64位的加壳用的,一个是32位用的。
这里需要对FBK.exe木马文件进行加壳处理,FBK.exe是64位的,打开themida64.exe,,选择完文件后,点击protect,等待生成即可。
|
|
将生成的文件再放到“1”文件夹下,用电脑系统自带某绒静态查杀。
|
|
加完壳后查杀不出来。
|
|
四.捆绑其他软件
虽然能够通过某绒查杀,但现在正常人都知道文件不正常 = =,不会有谁想点开它。我们需要进行捆绑。
需要用到的软件:
- 压缩软件:WinRAR
- 刷钻.exe(可自选)
这里笔者用来捆绑的是一个测试软件,刷钻.exe文件,没有什么实质性功能。
打开后的界面如下图所示,输入账号密码后会提示“你被骗了”。
(注:这里最后也对需要捆绑的软件进行加壳处理,因为Themida加壳完运行的时候会弹出来一个themida保护程序,两者都进行加壳,会比较逼真。)
创建自解压文件(把木马文件捆绑到刷钻.exe程序上) 。
全选两个文件,点击添加到压缩文件:
设置如下:点击创建自解压格式压缩文件。
|
|
点击高级:自解压选项。
|
|
解压路径可以自己选择,只要是windows自带的文件夹即可,这里选择的是公共。
|
|
点击设置,设置为如下,解压后运行选择为FKB_protected.exe,解压后运行选择为刷钻.exe。
|
|
点击模式,设置为全部隐藏。
|
|
点击更新,配置如下,更新模式为:解压并更新文件;覆盖模式为:覆盖所有文件。
|
|
一切配置完毕后点击确定。
五. 伪造其他图标
生成了一个很丑的文件图标,正常人都不会点,我们需要把图标换成刷钻.exe的图标。
过程如下:
需要使用的软件:
图标软件:Restorator
如果有需要可以从下方链接进行下载:
https://pan.baidu.com/s/1QFFY5uPzu2zZX_GStcS89A提取码:suga
*左右滑动查看更多
该软件需要激活码,使用以下注册码激活:
名字:JuNoS授权注册码:eTM0afo7NHb+LdpcduPV4OOXfY2mppIQDxhdusa-qFG8sNfUCMIH6zNZI0M9L9Wuj46ROqd7soWDLinqUepIo2Z63YIaBvjuC2R7MeLBla8MhVNOIMn742RgMQh0ApZ2SJ5kIyYHpPhgcW5zu7R1-j5aenV2paLGFv5Z3lZM7KY
*左右滑动查看更多
打开软件后,将需要更换的那个图标软件拉到资源树下面
|
|
这个软件bug较多,最好是直接用鼠标左键把图标拉到桌面上:
然后关掉软件,重新打开,将捆绑了木马的软件拉到资源树下,把刚刚保存到桌面的图标用鼠标拉到刚刚打开的软件的图标,进行替换(用其他方法很容易卡住),替换完保存即可,如下所示:
|
|
如下,成功将软件图标替换成了刷钻.exe的图标。
再进行杀毒测试:
放到文件夹“1”下,用系统自带某绒进行静态查杀:
|
|
查杀不出来。
|
|
六. 上线Cobalt Strike测试
开个cs:
双击运行刷钻程序。
运行的时候会先弹出Themida提示说程序被加壳保护,再次点击:
注:
themida加壳软件是软件保护系统,是为了防止应用程序免受高级逆向工程和软件破解的软件,加壳完都会有这个开始提示,如果有去掉的需求,可以使用OllyDbg来去除Themida的开始提示:
1.打开应用程序,分析程序的启动过程:在OllyDbg中,通过单步执行(Step Into)等调试功能,观察程序的启动过程,寻找与Themida开始提示相关的代码。
2.定位Themida开始提示的代码:通过分析程序的代码和调用堆栈,尝试定位与Themida开始提示相关的代码段。
3.修改代码,去除开始提示:找到与Themida开始提示相关的代码段,使用OllyDbg提供的功能来修改代码,去除或修改开始提示的逻辑。包括修改条件分支、替换函数调用或修改变量值等操作。
4.重新保存修改后的应用程序:在完成代码修改后,将修改后的应用程序重新保存。
弹出刷钻程序,关闭刷钻程序时,FBK_protected.exe文件就会运行。
上线成功。
|
|
七. 加固建议
1.员工教育和意识培训:
钓鱼攻击的成功往往依赖于用户的不知情或疏忽。通过对员工进行定期的社会工程学培训,提高他们对钓鱼攻击的认识和警惕性,可以有效减少成功攻击的可能性。
2.强化邮件过滤和安全策略:
3.定期更新和维护系统:
4.网络流量监测和入侵检测系统(IDS/IPS):
5.多层防御策略:
6.强化访问控制和权限管理:
7.监测异常行为和活动:
原文始发于微信公众号(安恒信息安全服务):九维团队-红队(突破)| 剖析一个红队常用Cobalt Strike钓鱼程序的生成
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论