传统的lnk快捷方式肯定会被拦截,包括知名的Quantum Builder量子构建器《使用lnk快捷方式钓鱼》,以及各种人工LNK。本技术采用LNK攻击新技术,使用高超音速加载器,搭载cobaltstrike隐身平台stageless有效载荷,常规杀毒软件无法拦截。由于本次采用训练弹,对计算机无危害。
高级红队lnk
技术采用
|
|
|
|
|
《付费购买》 |
|
|
《间接系统调用APC注入EDR绕过免杀加载器》 |
|
|
《完全无法检测的CobaltStrike》 |
|
|
《免杀HelloWorld,0/71通过所有杀软》 |
视频区域
测试结果
|
|
|
|
|
|
|
|
|
|
|
|
这表明在本次测试中,卡巴斯基对LNK进行了有效拦截,火绒对LNK查杀仍需改进。360由于是黑白名单查杀机制,未部署测试。
在攻防实战中,可通过html走私技术《HTML走私攻击技术演示》进行行动。
原文始发于微信公众号(白帽子安全笔记):高级lnk快捷方式,常规杀毒软件无法拦截
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论