免责声明:文章所涉及内容,仅供安全研究教学使用,由于传播、利用本文所提供的信息而造成的任何直接或间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。
LNK钓鱼攻击原理:通过精心制作一个看似正常的LNK文件,但实际上却隐藏着恶意代码或链接。当用户轻信并点击这些伪装的LNK文件时,就会触发恶意代码的执行,进而暴露个人信息或使系统遭受攻击。这种攻击方式通常结合社会工程学手段,诱导用户点击不明来源的快捷方式文件。
修改目标路径:把目标修改成了我们白加黑所在的位置,起始位置修改为白exe所在的文件夹里,这里使用现成的lnk,当然也可以自己生成一个,或者使用代码生成一个。
生成LNK文件:当然,除了利用现成的LNK文件外,我们还可以手动生成一个新的快捷方式,或者使用代码来自动生成(具有指定目标和位置的LNK文件)。
运行LNK文件:当我们运行被篡改的LNK文件时,虽然成功上线,但这种方法显然太过显眼。尽管图标显示为xmind程序,但实际上xmind并未正常启动,这种异常行为很容易引起用户的警觉和怀疑。
使用VBScript增强隐蔽性:为了增强隐蔽性,我们可以利用VBScript(VBS文件)作为LNK文件的目标。通过VBS脚本,我们可以首先启动一个正常的程序(如XMind),然后在一段时间后(如10分钟)再执行恶意代码或加载恶意程序。
双层调用隐藏真实目标:使用工具生成一个LNK文件,其表面上的调用路径是Windows系统目录下的合法程序(如conhost.exe),但实际上在调用路径之后还隐藏了真实的恶意目标。当用户双击这个LNK文件时,虽然表面上看起来是启动了合法的程序,但实际上却是在执行恶意代码。
调用路径表面上是%WINDIR%System32conhost.exe,但实际上隐藏了后续的恶意目标。当用户双击这个LNK文件时,实际上会触发并执行我预设的恶意程序或操作。
感谢您能耐心阅读至此。由于笔者水平有限,可能在文章中存在一些不足或疏漏,敬请各位读者朋友海涵。我们会继续努力,提升自我,为大家带来更加优质的内容。
如果您对本文有任何建议或意见,欢迎在评论区留言,您的反馈是我们成长的动力。同时,也欢迎您分享本文给更多志同道合的朋友,让我们一起交流学习。
再次感谢您的支持与理解,期待与您在下一篇文章中再次相聚!
手机号:18381606664
业务范围:攻防演练、网络安全技术培训、重要时期网络安全保障、渗透测试、代码审计、漏洞挖掘、应急响应、风险评估等。
原文始发于微信公众号(泾弦安全):LNK钓鱼攻击揭秘:如何保护你的Windows系统?
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论