高级LNK快捷方式,持久化控制

admin 2025年2月21日12:28:25评论21 views字数 2369阅读7分53秒阅读模式

字数 1029,阅读大约需 6 分钟

看下这篇文章<a "https:="" href="https://mp.weixin.qq.com/s?__biz=MzI2MDc2MDA4OA==&mid=2247513822&idx=1&sn=9d52dc150c8ee53e3af6d7ae908c596b&scene=21#wechat_redirect" title="【奇安信情报沙箱】警惕伪装为文档的恶意快捷方式(LNK)文件">【奇安信情报沙箱】警惕伪装为文档的恶意快捷方式(LNK)文件。

文中介绍,lnk样本伪装为txt文件诱使受害者点击查看,一旦点击将触发powershell 代码执行,创建一个EXE 文件,该 EXE 文件通过计划任务实现持久化,与远程服务器建立 HTTP 通信,并窃取设备上的多种数据。

这是一个相对比较简单钓鱼操作,现在我们来复现它。

技术采用

编号
技术
详细
版本
1
高级lnk快捷方式
<a "https:="" href="https://mp.weixin.qq.com/s?__biz=Mzg2ODE5OTM5Nw==&mid=2247486482&idx=1&sn=3ae91be8bc850c87797b70895cc26002&scene=21#wechat_redirect" title="《高级lnk快捷方式,常规杀毒软件无法拦截》">《高级lnk快捷方式,常规杀毒软件无法拦截》
更新
2
加载器
<a "https:="" href="https://mp.weixin.qq.com/s?__biz=Mzg2ODE5OTM5Nw==&mid=2247486727&idx=1&sn=9e5698c1957b921e868ca006c71f9dab&scene=21#wechat_redirect" title="《红队加载器过主流杀软(混淆最终版)》">《红队加载器过主流杀软(混淆最终版)》
更新
3
cobaltstrike
<a "https:="" href="https://mp.weixin.qq.com/s?__biz=Mzg2ODE5OTM5Nw==&mid=2247485668&idx=1&sn=8c665f4fff33226b7caf6f571ab72a0f&scene=21#wechat_redirect" title="《Cobaltstrike4.9.1平台高级匿名技术》">《Cobaltstrike4.9.1平台高级匿名技术》
暂无更新

LNK快捷方式

在原有版本基础上调整了若干命令同时确保绕过,主要作用是隐蔽执行释放EXE文件至%temp%目录并执行。在LNK文件名称方面,使用deepseek生成:

以下是一些具有迷惑性的LNK文件名建议(仅用于防御研究及授权测试,禁止非法使用):系统伪装类系统组件更新.lnkWindows_Security_Patch_KB5007652.lnkDefender病毒库升级程序.lnkDriver_Install_Assistant_v3.1.lnkMicrosoft .NET Runtime修复工具.lnk文档诱导类2023年12月工资明细表.lnk员工绩效考核名单(机密).lnkQ4财务审计报告_Final版.lnk合作方银行账户信息汇总.lnk公司通讯录(新版).lnk工具仿冒类Adobe_Flash_Player_卸载工具.lnk微信聊天记录恢复助手.lnkWPS Office激活程序.lnkChrome浏览器优化插件.lnkPDF转换器专业版.lnk邮件钓鱼类DHL快递单号查询.lnk税务局电子发票领取通知.lnk社保公积金调整确认函.lnkZoom会议邀请链接.lnk疫情防控承诺书签署入口.lnk 社会工程学增强建议:时间敏感命名年度奖金发放倒计时24h.lnk双12促销价格表(限时).lnk权威机构仿冒中国人民银行征信查询.lnk国家企业信用信息公示系统.lnk格式混淆紧急通知.pdf.lnk (显示为PDF图标)会议录音.mp3.lnk (显示音频文件图标)多语言混合Payment_Confirmation_支付确认.lnk重要!Update_Required_请及时更新.lnk

加载器

在原有代码基础上进行了若干改动:包括将固定密钥修改为随机密钥,在字符串中不可见;增加了沙箱检测以绕过云查杀;增加注册表操作。

作用是执行后将自身设置为当前用户注册表自启动并上线, 后续可增加诱饵文档。

cobaltstrike

针对普通杀毒软件,使用<a "https:="" href="https://mp.weixin.qq.com/s?__biz=Mzg2ODE5OTM5Nw==&mid=2247486407&idx=1&sn=3d5aac035de86b7ebaa473a414954cea&scene=21#wechat_redirect" title="《完全无法检测的cobaltstrike(Cobaltstrike4.9.1平台高级匿名技术)》">《完全无法检测的cobaltstrike(Cobaltstrike4.9.1平台高级匿名技术)》即可,目前无需更新,后续如检出再提供更新。如有更高需求,如卡巴斯基,可升级至<a "https:="" href="https://mp.weixin.qq.com/s?__biz=Mzg2ODE5OTM5Nw==&mid=2247486727&idx=1&sn=9e5698c1957b921e868ca006c71f9dab&scene=21#wechat_redirect" title="《去全部特征版本》">《去全部特征版本》。

原文始发于微信公众号(白帽子安全笔记):高级LNK快捷方式,持久化控制

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年2月21日12:28:25
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   高级LNK快捷方式,持久化控制https://cn-sec.com/archives/3766102.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息