戟星安全实验室
本文约****字,x图,阅读约需*分钟。
前言
在阅读文章后“LOLBins免杀技术研究及样本分析”,想起之前帮朋友分析的某红蓝钓鱼附件,就深入探索一下
攻击路径:投递简历社工hr,打电话让查看恶意附件
钓鱼附件
如果直接解压简历附件,受害者只看到一个pdf快捷方式
如果受害者点开文件夹浏览,可能察觉异常,不会中招
右键属性无法看到具体命令,使用工具(或winhex软件),发现是超长空格字符串隐藏真实参数,同样的手法也可以直接插入恶意命令(cmd.exe /argvs)
微步云沙箱报告,静态免杀全过,但是动态发现恶意行为特征,cs应该是没做内存免杀的
尝试还原免杀手法,经过反复测试,发现只要修改了_TUProj.dat文件就会出现错误,疑似文件内有某种校验值,可能需要逆向exe分析逻辑,放弃
使用LOLBins手法上线cs
如何发现LOLBins程序?这里放3个我觉得不错研究学习的参考
“Living Off The Land Binaries, Scripts and Librarieshttps://lolbas-project.github.io/”“远控免杀从入门到实践之白名单(113个)总结篇https://www.freebuf.com/articles/system/232074.html”“基于白名单Msbuild.exe执行payload第一季https://micro8.gitbook.io/micro8/contents-1/71-80”这里选择经典的MSBuild.exe,因为它win7&win10均自带,且低权限用户也可执行,常见路径是C:WindowsMicrosoft.NETFrameworkv4.0.30319MSBuild.exe“MSBuild是微软提供的一个用于构建应用程序的平台,它以XML架构的项目文件来控制平台如何处理与生成软件。”
对应的XML文件收集到三种利用方式:
1、嵌入powershell命令内容,反连类型自定义2、嵌入可执行shellcode,反连类型自定义3、嵌入ip+端口,反连类型为TCP会话因为内部解析的是C#代码,理论上全部上线方式均可,后面杀软默认测试方式1,cs生成powershell命令
数字杀软默认配置(开启核晶防护状态)
xml文件模板均不杀,通过msbuild.exe执行(朋友说它命令执行cmd被杀了,某些配置下不能绕过):
进程注入不拦截、命令行添加用户不拦截
服务创建不拦截、注册表启动项不拦截(Run、Winlogon)
火绒默认配置
xml文件模板均不杀,通过msbuild.exe执行:
进程注入不拦截、命令行添加用户拦截(可bypass添加)
服务创建不拦截、注册表启动项不拦截(Run)
测试感觉火绒动态拦截主要以防护规则为主,直接执行powershell命令和使用白名单程序区别不大
xml内直接贴powershell命令可能被防护软件拦截,可混淆或者使用这个工具
通过图片镶嵌绕过检测,远程下载图片提取执行
https://github.com/peewpw/Invoke-PSImage
往期回顾
声明
由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,戟星安全实验室及文章作者不为此承担任何责任。
戟星安全实验室拥有对此文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的完整性,包括版权声明等全部内容。未经戟星安全实验室允许,不得任意修改或者增减此文章内容,不得以任何方式将其用于商业目的。
戟星安全实验室
# 长按二维码 || 点击下方名片 关注我们 #
原文始发于微信公众号(戟星安全实验室):【干货分享】LOLBins技法的钓鱼附件分析
