在一个深层目录下生成一个VBS文件,让该VBS分别打开.html与我们的一个shellcode上线器,VBS的代码如下所示:
Set WshShell = CreateObject("WScript.Shell")WshShell.Run ".\你的html或者pdf",0, False'WshShell.Run ".\你的上线器",0, False'Set WshShell = Nothing
这里用的是一个html的页面,一个html页面会带有很多附件(如图片、js文件等),能够将上线器伪装在html页面的一个附件中。
这里的bypass文件就可以用第一步相同的方式更改它的图标,并利用RLO方式混淆后缀名。
上线器我们可以采用一个分离的方式,将shellcode伪装成一个图片或者一些.css后缀的文件混入资源文件中。并且将Loader做一个反调试,或者加载shellcode时对文件名做一些混淆加密解密,来增加溯源成本。
更进一步利用域名加域前置的手段,除非能分析出Loader的一个解密流程并定位shellcode,否则很难成功溯源。
点击下方名片进入公众号,欢迎关注!
喜欢我们的文章的话,别忘了给我们点个赞哦!感谢您的支持👍
原文始发于微信公众号(赤鸢安全):【免杀】记一次lnk钓鱼小技巧
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论