历史记录

    清空历史记录
    • 相关的动态
    • 相关的文章
    • 相关的用户
    • 相关的圈子
    • 相关的话题
    注册 登录
    【翻译】在普通 PDF 或 EXE 中嵌入恶意可执行文件
    朝闻道 发表于 湖北 二进制安全 876浏览 · 2024-04-30 05:16

    翻译:

    https://medium.com/@sam.rothlisberger/embed-a-malicious-executable-in-a-normal-pdf-or-exe-81ee5339707e

    免责声明:使用这些工具和方法对未获得明确许可的主机进行测试是非法的。使用这些工具和方法可能造成的任何麻烦均由您自行负责。

    今天,我们将展示如何创建一个看起来像 PDF、word文档或网页浏览器可执行文件的恶意可执行文件,它不仅具有正常文件/程序的功能,还包含我们嵌入的恶意可执行文件。为此,我们将使用 WinRaR,可在此处下载:

    https://www.rarlab.com/download.htm

    我们假定已经制作了恶意可执行文件,可以在受害者主机上执行某些操作或向我们发送反向 shell。以下是创建看起来合法的文件的步骤:

    1. 使用 https://iconfinder.com 查找恶意可执行文件的 PNG 图标。本例中使用的是 Chrome 浏览器,但也可以搜索任何文件类型的徽标。点击 "下载 PNG"。

    2.使用 https://iconconverter.com 将图标 PNG 转换为 .ico 文件。上传之前的 PNG 并点击 "转换"。

    3.在桌面上选择并右击真正的 Chrome 浏览器 exe(在我的例子中)和恶意可执行文件,然后选择 "添加到存档... "以创建合并存档。


    存档文件名将使用 chrome.exe,以便看起来合法。确保勾选了 "创建 SFX 存档"。

    单击高级 > SFX 选项 > 设置,然后输入以下内容:

    输入 test.exe(恶意 exe)和合法的 chrome.exe(执行恶意 exe 后打开的程序)

    静默解压恶意程序到临时目录,不显示弹框

    输入文件图标

    输入上述参数后,点击"确定",桌面上会出现一个名为chrome.exe的压缩文件,并带有正确的Chrome浏览器图标。双击这个chrome.exe文件,将会同时执行我们的恶意程序,并像正常情况一样打开Chrome浏览器标签页。在执行该程序时,它利用另一个无害程序chrome浏览器绕过了Windows Defender,无需其他操作即可完成整个过程。

    恶意 Chrome(左侧) 与真实 Chrome(右侧)

    4.(可选--如果使用其他文件类型(如 PDF)而不是 exe)我们将使用从右向左覆盖(RTLO)来更改创建的存档,使其在桌面上看起来像 PDF,但作为 EXE 执行。右左覆盖(RTO 或 RTLO)是一种 Unicode 非印刷字符,用于以从右到左的方式写入语言并读取。它接收输入内容,并从字面上将文本翻转过来。

    让我们把文件名改成像 Reflexe.pdf 这样的半正常翻转文件名。我们将插入 Unicode,使其在受害者桌面上看起来像 Refl[不可见 Unicode 东西]exe.pdf,但实际上是 Refl[不可见 Unicode 东西]fdp.exe。


    打开 Windows 上的 "字符映射表 "应用程序,选中 "高级视图 "框。在 "转到 Unicode "选项中输入 202E。分别点击 "选择 "和 "复制 "按钮,然后编辑我们创建的 WinRaR 存档的文件名。输入文件名 Refl[CTRL+v]fdp.exe,然后返回并在指定位置粘贴 Unicode。点击粘贴后,文件名就会变成 Reflexe.pdf。(译注:直接右键重命名插入unicode控制字符RLO他不香吗?搞这么复杂?)
    但我们遇到了一个问题--由于这是一种已知的启动可执行文件的文件类型(.pdf),它很快就会被 windows defender 标记出来。(译注:译者测试的时候没有触发这个告警)

    解决这个问题的方法之一是使用同形字。归根结底,我们只是想让用户觉得这看起来像 PDF,那么他们有多大可能发现一个字母看起来有点不同呢?我使用这个资源手动测试 Defender 会标记什么:

    https://www.irongeek.com/homoglyph-attack-generator.php

    我聚焦在可执行文件名称中的字母p、d和f。通过对这些字母进行一些微小的修改,例如使用同形字母,可以得到一个视觉上相似但特征不同的新文件名。接着,在新文件名前插入控制字符RTLO,从而创建了一个看似无害文件扩展名的新文件。它应该会给 defender带来不同的特征:

    同形字f


    带假 "f "的文件名 vs 带真 "f "的文件名

    你无法通过观察来区分它!虽然文件扩展名被修改为看似无害的 .pdf,但安全机制仍然尝试扫描并隔离了这个文件。但在扫描和隔离发生之前,该可执行文件已经成功启动并建立了一个反向 shell 连接。在这个案例中,连接成功建立并被另一台机器捕获。

    现在,我们只需通过社工让受害者在其 Windows 主机上下载并打开 Reflexe.pdf 或 chrome.exe。

    1 人收藏 0 人喜欢 转载 分享
    0 条评论
    某人
    表情
    可输入 255
      发布投稿
    热门文章
    优秀作者
    目录
    先知社区
    本站/app由 Djingoii 提供技术和产品支持