高级lnk快捷方式武器化
看下这篇文章,翻译过来是“UAC-0184的恶意软件活动使用XWORM RAT针对乌克兰,利用 Python 进行 DLL 侧加载。”。
一、方案介绍
执行lnk后删除自身,远程下载一个同名文档至当前目录,打开迷惑目标,检查appdata是否存在SecurityCheck目录,不存在则创建,远程下载pkg.zip至该目录,解压释放混淆的EXE加载器(可搭载白加黑),删除zip,计划任务维持权限并自我删除,启动加载器。
二、发布内容
编号 | 方案 | 类型 | 内容 | 状态 |
|---|---|---|---|---|
1 | 高级lnk快捷方式 | 途径(手段) | lnk2.0武器化 | 发布 |
一套完整的项目由平台(C2)、加载器(Loader)、途径三部分构成:
- 平台指的是运行在服务器上的C2,决定了有效载荷是否能绕过特征检测机制(如静态特征,内存特征)并与服务器通信。
- 加载器指的是运行在终端上的程序(通常为白加黑或单可执行文件),加载器用于加载我们的C2有效载荷(payload)至内存。决定了是否能隐蔽运行有效载荷。
- 途径指的是通过某一种技术投递(如lnk快捷方式),通常是社会工程学。
本文发布的是途径部分,平台已在之前介绍,加载器稍后发出。
三、武器展示
视频区域
四、使用方法
使用evillnk脚本自动生成lnk快捷方式,实现上述效果。
五、免责声明
本文涉及方案仅限合法授权的安全研究、渗透测试用途,使用者须确保符合《网络安全法》及相关法规。具体条款如下:
- 仅可用于已获得书面授权的目标系统测试;
- 遵守法律法规,不得用于侵犯他人隐私或数据窃取;
本人不承担因用户滥用本软件导致的任何后果。使用即视为同意并接受上述条款。
发布评论