本文章主要实现的功能是:用户点击伪装的PDF文件,然后受害主机上线到C2服务器。

通过了解一些攻击者是如何进行伪装进行钓鱼,来提高大家一定的防范意识。

本文涉及的工具和测试文件可通过文章末尾的附件 ByPass.zip 下载。

1.使用CS生成可以上线的Python Payload

2.使用bypassAV生成免杀后的代码

bypassAV项目地址:https://github.com/pureqh/bypassAV

(1)将payload.py中的buf的内容,填充至go_shellcode_encode.py中的变量shellcode处,运行脚本后,生成混淆后的base64 payload。

先升级pip:
python.exe -m pip install --upgrade pip -i https://pypi.tuna.tsinghua.edu.cn/simple
再安装numpy模块:
pip install numpy -i https://pypi.tuna.tsinghua.edu.cn/simple
运行go_shellcode_encode.py:
python .\go_shellcode_encode.py

脚本运行结果:

(2)将生成的base64 payload填至main.go中的build("payload")处。

(3)将main.go中的url替换为某个网页(可以正常访问的页面即可)

(4)编译程序。

go build -trimpath -ldflags="-w -s -H=windowsgui" main.go

3.使用GoFileBinder把exe捆绑个pdf文件

GoFileBinder项目地址:https://github.com/inspiringz/GoFileBinder?ref=golangexample.com

将使用bypassAV生成的免杀后的main.exe复制到GoFileBinder目录下。

先编译生成GoFileBinder主程序。

PS C:\Users\Blue\Desktop\ByPass\GoFileBinder> go build GoFileBinder.go
PS C:\Users\Blue\Desktop\ByPass\GoFileBinder> .\GoFileBinder.exe

╔═╗┌─┐╔═╗┬┬  ┌─┐╔╗ ┬┌┐┌┌┬┐┌─┐┬─┐
 ╦│ │╠╣ ││  ├┤ ╠╩╗││││ ││├┤ ├┬┘
╚═╝└─┘╚  ┴┴─┘└─┘╚═╝┴┘└┘─┴┘└─┘┴└─
https://github.com/inspiringz/GoFileBinder

Usage:
    C:\Users\Blue\Desktop\ByPass\GoFileBinder\GoFileBinder.exe <evil_program> <bind_file> [x64/x86]

将免杀程序main.exe与测试pdfAl.pdf使用GoFileBinder进行捆绑。

.\GoFileBinder.exe main.exe Al.pdf x64

注意:main.exe和Al.pdf前面不要加表示当前目录的"./",加的话会导致编译失败。

现在我们得到了捆绑pdf后的免杀exe文件(AL.exe)。

4.给免杀的捆绑exe设置个图标(pdf缩略图效果)

现在的话,免杀的捆绑AL.exe文件还是没有任何图标的,比较原始,隐蔽性不高。

(1)打开测试的pdf文档(Al.pdf)截个图生成1.png文件。

(2)使用pngZico将png图片转为ico图片

(3)使用ico替换工具将免杀的捆绑AL.exe文件换图标为刚刚提取的1.ico。

这样,我们就获得了有图标的免杀的捆绑AL.exe文件。

这样的话,迷惑性就大很多了。

5.使用RLO改个后缀(名称中不建议有中文)

做戏尽量要做全套。我们再改下文件名,尽量使exe后缀看起来没那么明显。

首先,我们先打开个记事本,然后输入字符Al

接着,右键选择"插入Unicode控制字符",再选择"RLO"模式。

接着,只看着键盘输入fdp.exe。下面就是拼接后的效果。

我们使用Ctrl+A全选这段字符串进行复制。接着选中有图标的免杀的捆绑AL.exe文件,选择重命名,然后全选文件名AL.exe,接着选择"粘贴"。效果如下:

这样的话,看起来就像样的多了。

当我们运行这个文件,可以看到我们能正常打开测试的Pdf文件,同时,我们也能直接上线这台电脑。

当然,我们也可以尝试用别的方法将捆绑的文件改为png或jpg等图片文件,然后最后实现的效果就是打开一个正常图片的同时上线该主机。

大家可以在VT上测试下,通过该方法实现的免杀效果还是不错的。

<font color="#dd0000"> 特别声明:
由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,我不为此承担任何责任。
作者有对此文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的完整性,包括版权声明等全部内容。未经作者的允许,不得任意修改或者增减此文章内容,不得以任何方式将其用于商业目的。切勿用于非法,仅供学习参考。 </font>

ByPass.zip (3.573 MB) 下载附件
点击收藏 | 3 关注 | 1
登录 后跟帖