背景
上个月 Crowdstrike 爆出来的一次在野攻击,把 SFX配合 utilman.exe加入到提权上,而各家AV对SFX隐藏的恶意命令甚至恶意软件检测率不高。其实该技术不为新,不过可以作为防御侧可以加深对SFX的提防。
技术简述
SFX(SelF-eXtracting)自解压文件是压缩文件的一种,因为它可以不用借助任何压缩工具,而只需双击该文件就可以自动执行解压缩,因此叫做自解压文件。文件类型为 .exe格式。
场景一:隐藏恶意软件
选择要隐藏的目标文件:
选择ZIP并选择船舰压缩文件:
高级选项中打开自解压选项:
更新中选择覆盖所有文件和解压并更新:
文本和图标里面可以选择隐藏的图标:
模式中开启全部隐藏:
设置中解压后运行设置好用于隐藏的图标和目标执行文件:
然后你就能得到:
只要配合其他攻击方式,关闭文件检查,或者后缀显示就能达到隐藏目的。
场景二:隐藏命令
命令可以是ps,cmd或者是一句话shell。前面步骤大同小异,在设置里面加入命令即可。
7-zip 同样可以按照上面逻辑制作SFX。
原文始发于微信公众号(TIPFactory情报工厂):TIPs | SFX 隐藏恶意命令软件
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论