跟着黑客学习fake captcha

admin 2025年6月7日09:29:12评论0 views字数 1644阅读5分28秒阅读模式

原文

本文由好友r0bepr所写,最早发布于freebuf,链接:https://www.freebuf.com/articles/system/423758.html

在应急处理过程中,正好捕获到此类攻击,用户主机失陷,在Hawkeye的powershell日志中可以查看到此类攻击痕迹。故将此文分享。

1.引言

在一次溯源过程中,通过对日志的分析,我们发现用户触发了LummStealer警报。进一步的日志审查揭示,此次攻击采用了一种名为“Fake CAPTCHA”的技术。鉴于此,本文将深入探讨并研究这种特定的攻击手段——Fake CAPTCHA

2.攻击分析

2.1.攻击流程

相关项目:https://github.com/JohnHammond/recaptcha-phish

1.下载项目至本地,点击index.html。并且修改index.html第423行,加上项目路径。

跟着黑客学习fake captcha
跟着黑客学习fake captcha

2.index.html即为攻击页面。

跟着黑客学习fake captcha

3.用户点击方框,此时粘贴板已复制了攻击命令(可自定义):

mshta file://C:Users用户名Desktoprecaptcha-phish-mainrecaptcha-verify # ✅ ''I am not a robot - reCAPTCHA Verification ID: 3495''

跟着黑客学习fake captcha

4.如果此时用户被诱导,打开windows+R,并且输入命令,则此时用户将会执行恶意payload。并且在用户视角看上去,仅看到✅ ''I am not a robot - reCAPTCHA Verification ID: 3205''。

跟着黑客学习fake captcha

2.2.脚本分析

1.分析项目结构,经过分析得知结构如下

index.html:钓鱼页面,该页面为攻击者诱导用户点击人机识别,复制攻击命令。

recaptcha-verify:hta页面,用于结合mshta执行命令。

跟着黑客学习fake captcha

index.html

1.首先分析index.html,攻击命令为commandToRun,payload路径为htaPath。

跟着黑客学习fake captcha

2.代码中setClipboardCopyData为核心函数,复制textToCopy至粘贴板。

跟着黑客学习fake captcha

recaptcha-verify

1.分析该文件,可以看到其为hta文件。在执行命令的同时,可以触发html页面

跟着黑客学习fake captcha
跟着黑客学习fake captcha

3.脚本修改

3.1.修改执行命令

1.经过对脚本进行分析,实际上攻击者只需要使用html文件即可,核心是修改执行命令。

eg:cmd命令

跟着黑客学习fake captcha
跟着黑客学习fake captcha

eg:powershell命令

跟着黑客学习fake captcha
跟着黑客学习fake captcha

3.2.命令免杀

该部分结合命令混淆执行,可以参考powershell混淆以及mshta混淆。

powershell混淆:https://github.com/danielbohannon/Invoke-Obfuscation

mshta混淆:https://github.com/felamos/weirdhta

4.攻击特征

4.1.特征

  1. 通过对攻击过程的分析,可以发现,整个攻击流程实际上仅包含两个步骤:诱导复制和诱导粘贴。因此,使用 Procmon 进行监控时,发现当用户通过 Win+R 打开运行窗口并输入命令时,系统会在注册表路径 HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerRunMRU 下创建新的键值,并将命令写入。
跟着黑客学习fake captcha
跟着黑客学习fake captcha除了在注册表中可以查看到痕迹,该攻击也会被powershell日志所记录,事件id为400。(hawkeye可以直接查看[公众号历史文章有说过该工具],无需打开事件查看器)
跟着黑客学习fake captcha

4.2.告警规则

1.监管HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerRunMRU注册表内容,避免用户执行恶意命令

2.结合剪切板API进行组合规则,生成fake captcha告警规则。

5.参考链接

https://github.com/fucklinux/fakeCAPTCHAfakeCAPTCHA项目

原文始发于微信公众号(事件响应回忆录):跟着黑客学习fake captcha

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年6月7日09:29:12
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   跟着黑客学习fake captchahttps://cn-sec.com/archives/3810736.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息