在普通 PDF 或 EXE 中嵌入恶意可执行文件

今天，我们将展示如何创建一个看起来像 PDF、Word 文档或 Web 浏览器可执行文件的恶意可执行文件，具有正常文件/程序的功能，而且还有我们嵌入的恶意可执行文件。为此，我们将使用 WinRaR，可以在此处下载：

https://www.rarlab.com/download.htm

我们假设我们已经制作了恶意可执行文件，它将在受害者主机上执行某些操作或向我们发送反向 shell。以下是创建看起来合法的文件的步骤：

1.使用https://iconfinder.com查找您想要的恶意可执行文件的 PNG 图标。在此示例中，我们使用 chrome，但您可以搜索任何文件类型徽标。单击“下载 PNG”。

2. 使用 https://iconconverter.com 将图标 PNG 转换为 .ico 文件。上传之前的 PNG 并单击“转换”。

3. 在桌面上选择并右键单击真正的 chrome 浏览器 exe（在我的例子中）和恶意可执行文件，然后选择“添加到存档...”以创建组合存档。

存档文件名只是 chrome.exe 看起来合法。确保选中“创建 SFX 存档”。

单击高级 > SFX 选项 > 设置并输入以下内容：

输入test.exe（你的恶意exe）和合法的chrome.exe（执行恶意exe后打开的程序）

输入文件图标

输入上述参数后，单击“确定”，名为 chrome.exe 的存档将在桌面上弹出，并带有正确的 chrome 图标。双击 chrome.exe 将执行我的恶意可执行文件，并像平常一样打开浏览器选项卡。当使用另一个非恶意 exe 执行我们的 exe 时，不需要其他任何东西来绕过 Defender，这样工作就完成了。

恶意 Chrome 与真实 Chrome 相邻

4.（可选 -如果使用除 exe 之外的其他文件类型，如 PDF）我们将使用从右到左覆盖 (RTLO) 来更改创建的存档，使其在桌面上看起来像 PDF，但作为 EXE 执行。从右到左覆盖（RTO 或 RTLO）是一种 Unicode 非打印字符，用于编写以从右到左方式读取的语言。它接受输入并实际上只是将文本翻转过来。

让我们将文件名更改为看起来半正常翻转的名称，例如 Reflexe.pdf。我们将插入我们的 Unicode，使其在受害者桌面上看起来像 Refl[Invisible Unicode stuff]exe.pdf，但实际上是 Refl[invisible Unicode stuff]fdp.exe。

在 Windows 上打开字符映射表应用程序并选中“高级视图”框。在“转到 Unicode”选项中，输入 202E。分别点击“选择”和“复制”按钮，然后编辑我们创建的 WinRaR 存档的文件名。输入文件名 Refl[CTRL+ v]fdp.exe，然后返回并将 Unicode 粘贴到指定的位置。一旦您点击粘贴，该文件就会更改为 Reflexe.pdf。

但我们有一个问题 - 因为这是启动可执行文件的已知文件类型 (.pdf)，所以 Windows Defender 很快就会对其进行标记。

解决这个问题的一种方法是使用同形文字。归根结底，我们只想让用户看起来像 PDF，那么他们发现其中一个字母看起来有点不同的可能性有多大呢？我使用此资源手动测试 Defender 将标记的内容：

https://www.irongeek.com/homoglyph-attack-generator.ph

我专注于字母 p、d 和 f，看看是否可以交换任何不会被注意到的字母，我发现“f”的这种变体看起来很合适。我将名称 Refl f dp.exe 中的同形字“f”替换为正常的“f”，然后像以前一样在它之前插入 RTLO 以创建 Reflexe.pd f，这应该为防御者提供不同的签名：

同形字“f”

带有假“f”的文件名与带有真实“f”的文件名

亲爱的，你不能（我不能..）通过观察来区分它！使用我的新 .pdf 扩展名，Windows Defender 实际上在打开 pdf 之前开始扫描，让它打开，然后几秒钟后隔离我的 PDF 文件。然而，这是在我的恶意可执行文件启动反向 shell 之后。就我而言，我在攻击者机器上通过 Villain 收到了一个 netcat shell:)

现在，我们只需对受害者进行社会工程，让其在 Windows 主机上下载并打开此 Reflexe.pdf 或 chrome.exe。我希望你喜欢这篇文章！