恶意软件容器化

admin 2025年1月14日08:29:38评论30 views字数 3211阅读10分42秒阅读模式

微软在2022年7月为了帮助用户保持安全,在Office中默认阻止了internet宏。

阻止从Internet下载的文档中的VBA宏。

接下来我们来了解一下MOTW标记,其实就是网络标记。

什么是MOTW标记?

MOTW全名Mark of the Web,他是windows操作系统中的一个安全特性,为了帮助用户在处理下载文件时提供更多的安全保障设计的。

MOTW标记是一种XML注释,可以将其添加到文件的头部,以指示该文件是从internet上下载的,这个标记告诉Windows操作系统,该文件来自互联网,并提醒用户在打开文件时要小心。例如,当用户双击打开一个包含MOTW标记的文件时,Windows会显示一个警告,提醒用户该文件可能不安全,并询问用户是否确实要打开它。

MOTW标记的目的是增强安全性,帮助用户警惕可能包含潜在风险的文件。这对于防止恶意软件传播和保护系统安全非常有用。

所以一般如果我们互联网上下载的文件有可能会被打上这个标记,例如显示这个文件来自另一台计算机,Unbland可能会被阻止以帮助保护他的计算机。

那么我们如何去逃避呢?

逃避MOTW标记

针对于逃避MOTW标记,我们可以使用某些容器来搭载我们从互联网上下载的恶意软件,有些容器他不会MOTW标记传播到内部文件。

使用镜像文件进行逃避,例如ISO文件,IMG文件,DMP文件。

恶意软件容器化

也可以使用CAB文件,CAB 文件是一种 Microsoft Windows 上常见的存档文件格式。

CAB 文件通常用于将一组文件打包成单个文件,以便于在 Windows 系统中进行分发、安装或存档。这种格式在安装 Windows 软件、更新、驱动程序等方面非常常见。CAB 文件通常可以通过 Windows 的内置工具或者第三方解压软件进行解压缩。

我们可以使用windows自带的工具来进行压缩文件,首先需要创建一个txt文件,里面要写你自己要压缩的文件路径。

恶意软件容器化
然后使用makecab来进行压缩。
makecab /F .cab.txt
如上图就压缩好了,然后我们就可以直接双击进行解压。
恶意软件容器化

也可以通过WMI文件格式来作为容器,WIM文件是一种 Windows 映像文件格式,用于捕捉、存储和部署 Windows 操作系统的映像。WIM 文件通常用于 Windows 安装介质和部署工具(如 Windows 部署服务、MDT 等)中。

如果我们湘将文件压缩成WIM文件的话,我们可以使用Windows自带的工具Dism.exe

也可以通过7zip直接压缩。

恶意软件容器化
现在让我们来手动压缩一下:
Dism /Capture-Image /ImageFile:C:UsersAdministratorDownloadsrelaysec.wim /CaptureDir:C:UsersAdministratorDownloads /Name:"relaysec" /Description:"Files to deploy"
这里简单来解释一下这几个参数:
/ImageFile: 指定输出的 WIM 文件名/CaptureDir: 指定要捕捉为映像的文件夹/Name: 指定映像的名称/Description: 关于影响的描述
如下图成功创建:
恶意软件容器化
创建的wim文件就是ImageFile指定的路径。
恶意软件容器化

尝试解压:

可以看到压缩包中的文件。

恶意软件容器化

复杂感染链

这里其实指的是钓鱼链,例如我们之前说到过的zip->lnk->白程序->黑dll->shellcode。

所以只是一组链接文件,这些文件将被很好的链接在一块,从而导致被感染。

如下例子:

我们可以通过发送邮件的方式里面嵌入链接,或者在PDF中嵌入链接,需要注意的是这里嵌入的链接是HTML走私的页面,目标访问HTML走私页面获取到ISO恶意文件载体,然后通过ISO解压,通过lnk去执行我们的木马。

如下链:

email -> HTML走私 -> lnk -> dll -> shellcode

那么也就是说无论是HTML走私还是说SVG走私都是可以的。

接下来我们可以尝试使用webdav去钓鱼,这种方式其实公众号是发过的。

参考如下:

https://mp.weixin.qq.com/s/q4MyZKF8ed_WSz_PF2NCRg

针对于容器载体的话,一般我们会选择ISO/IMG文件,因为可以包含我们隐藏的文件,或者ZIP文件以及wim文件都是可以的,这些我们上面介绍过。

恶意文件触发

针对于恶意文件触发,我们有很多种方式,例如lnk文件,或chm文件。一般lnk文件会去运行cmd或者powershell或exe文件。

那么对于chm文件来说就比较笨重了,而且查杀会相对严重一点。

有些文件既可以充当恶意载体也可以进行恶意文件触发。

例如MSI文件,在安装的过程中触发恶意文件或执行相关命令。

包括我们前面所说的ClickOnce也可以进行远程加载恶意文件。 只是需要注意INSTALL=TRUE。

Payload

针对于payload有几种方式:

  1. 白加黑的方式,就是白程序加黑dll的方式。

  2. 直接或间接去加载dll,例如rundll32.exe shell32.dll,函数 evil.cpl

  3. MSI文件

  4. MSI + .MST文件

  5. ClickOnce

  6. 宏文档

  7. html走私->ISO->autoit3.exe -> .au3 + pdf

接下来我们尝试使用第七种触发链。

这里的.au3脚本非常简单。

就是一个弹窗的代码。

恶意软件容器化
然后我们尝试使用autoit64.exe去执行即可。
恶意软件容器化
现在我们需要将其写到lnk文件中。
C:WindowsSystem32cmd.exe /c au.exe msgbox.au3
恶意软件容器化
这里有一个简单的技巧,一般我们直接使用cmd.exe /c去调用的时候会有一个黑窗口,这里我们可以将运行方式改为最小化,就没有了。
恶意软件容器化

这里我们可以选一下图标。

还是我们之前所说的。

因为我这里虚拟机没有装pdf解析器,所以这里使用计算器代替。

恶意软件容器化
接下来我们就需要将这三个文件打成ISO文件了。
python PackMyPayload.py c:UsersAdministratorDesktoppayload c:UsersAdministratorDesktoppayload.iso --hide au.exe,msgbox.au3
恶意软件容器化

获取到ISO文件之后。

我们需要来进行HTML走私。

python smuggler.py  c:UsersAdministratorDesktoppayload.iso c:UsersAdministratorDesktoppayload.html -M
恶意软件容器化

然后尝试打开html文件。

一般我们会将html文件放置到我们的机器上来做。

这里为了方便就直接打开了。

恶意软件容器化

下载之后就可以直接打开了。

可以看到这里只会显示这一个文件。

恶意软件容器化
成功执行
恶意软件容器化

一般我们在执行我们的恶意文件的之后也要去执行正常的文件,这样比较合理一点。

这里其实就可以使用到 | 这个符合,也就是或的意思。

例如:

C:WindowsSystem32cmd.exe /c au.exe msgbox.au3 | report.pdf
还有一点需要注意的是,尽量不要使用cmd去运行你的恶意软件,尽量采用LOLBIN的方式。
conhost --headless forfiles.exe /p c:windowssystem32 /m user32.dll /c "<hex-encoded-cmd /c>" /c  beacon.exe | report.pdfconhost --headless forfiles.exe /p c:windowssystem32 /m user32.dll /c "<hex-encoded-cmd /c>" /c  report.pdf| beacon.exe

我们可以来看看如上命令使用到的进程链:

可以看到这里其实跑的是conhost.exe。

恶意软件容器化
一般我们会去做一个白加黑的方式去加载:
HTML走私 -> ISO -> lnk -> 白程序 -> 黑dll -> shellcode

原文始发于微信公众号(Relay学安全):恶意软件容器化

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年1月14日08:29:38
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   恶意软件容器化https://cn-sec.com/archives/3625337.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息