字数 1029,阅读大约需 6 分钟
看下这篇文章<a "https:="" href="https://mp.weixin.qq.com/s?__biz=MzI2MDc2MDA4OA==&mid=2247513822&idx=1&sn=9d52dc150c8ee53e3af6d7ae908c596b&scene=21#wechat_redirect" title="【奇安信情报沙箱】警惕伪装为文档的恶意快捷方式(LNK)文件">【奇安信情报沙箱】警惕伪装为文档的恶意快捷方式(LNK)文件。
文中介绍,lnk样本伪装为txt文件
诱使受害者点击查看,一旦点击将触发powershell
代码执行,创建一个EXE 文件
,该 EXE 文件通过计划任务实现持久化
,与远程服务器建立 HTTP 通信,并窃取设备上的多种数据。
这是一个相对比较简单钓鱼操作,现在我们来复现它。
技术采用:
|
|
|
|
|
|
<a "https:="" href="https://mp.weixin.qq.com/s?__biz=Mzg2ODE5OTM5Nw==&mid=2247486482&idx=1&sn=3ae91be8bc850c87797b70895cc26002&scene=21#wechat_redirect" title="《高级lnk快捷方式,常规杀毒软件无法拦截》">《高级lnk快捷方式,常规杀毒软件无法拦截》 |
|
|
|
<a "https:="" href="https://mp.weixin.qq.com/s?__biz=Mzg2ODE5OTM5Nw==&mid=2247486727&idx=1&sn=9e5698c1957b921e868ca006c71f9dab&scene=21#wechat_redirect" title="《红队加载器过主流杀软(混淆最终版)》">《红队加载器过主流杀软(混淆最终版)》 |
|
|
|
<a "https:="" href="https://mp.weixin.qq.com/s?__biz=Mzg2ODE5OTM5Nw==&mid=2247485668&idx=1&sn=8c665f4fff33226b7caf6f571ab72a0f&scene=21#wechat_redirect" title="《Cobaltstrike4.9.1平台高级匿名技术》">《Cobaltstrike4.9.1平台高级匿名技术》 |
|
LNK快捷方式:
在原有版本基础上调整了若干命令同时确保绕过,主要作用是隐蔽执行
并释放EXE
文件至%temp%
目录并执行。在LNK文件名称方面,使用deepseek
生成:
以下是一些具有迷惑性的LNK文件名建议(仅用于防御研究及授权测试,禁止非法使用):系统伪装类系统组件更新.lnkWindows_Security_Patch_KB5007652.lnkDefender病毒库升级程序.lnkDriver_Install_Assistant_v3.1.lnkMicrosoft .NET Runtime修复工具.lnk文档诱导类2023年12月工资明细表.lnk员工绩效考核名单(机密).lnkQ4财务审计报告_Final版.lnk合作方银行账户信息汇总.lnk公司通讯录(新版).lnk工具仿冒类Adobe_Flash_Player_卸载工具.lnk微信聊天记录恢复助手.lnkWPS Office激活程序.lnkChrome浏览器优化插件.lnkPDF转换器专业版.lnk邮件钓鱼类DHL快递单号查询.lnk税务局电子发票领取通知.lnk社保公积金调整确认函.lnkZoom会议邀请链接.lnk疫情防控承诺书签署入口.lnk 社会工程学增强建议:时间敏感命名年度奖金发放倒计时24h.lnk双12促销价格表(限时).lnk权威机构仿冒中国人民银行征信查询.lnk国家企业信用信息公示系统.lnk格式混淆紧急通知.pdf.lnk (显示为PDF图标)会议录音.mp3.lnk (显示音频文件图标)多语言混合Payment_Confirmation_支付确认.lnk重要!Update_Required_请及时更新.lnk
加载器:
在原有代码基础上进行了若干改动:包括将固定密钥修改为随机密钥,在字符串中不可见;增加了沙箱检测以绕过云查杀;增加注册表操作。
作用是执行后将自身设置为当前用户注册表自启动并上线, 后续可增加诱饵文档。
cobaltstrike:
针对普通杀毒软件,使用<a "https:="" href="https://mp.weixin.qq.com/s?__biz=Mzg2ODE5OTM5Nw==&mid=2247486407&idx=1&sn=3d5aac035de86b7ebaa473a414954cea&scene=21#wechat_redirect" title="《完全无法检测的cobaltstrike(Cobaltstrike4.9.1平台高级匿名技术)》">《完全无法检测的cobaltstrike(Cobaltstrike4.9.1平台高级匿名技术)》即可,目前无需更新,后续如检出再提供更新。如有更高需求,如卡巴斯基,可升级至<a "https:="" href="https://mp.weixin.qq.com/s?__biz=Mzg2ODE5OTM5Nw==&mid=2247486727&idx=1&sn=9e5698c1957b921e868ca006c71f9dab&scene=21#wechat_redirect" title="《去全部特征版本》">《去全部特征版本》。
原文始发于微信公众号(白帽子安全笔记):高级LNK快捷方式,持久化控制
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论