全网唯一，高级LNK快捷方式新技术发布

在有360的环境下，常规技术都会被拦截和技术失效，包括cmd、powershell、rundll32等等命令以及其他公开技术。

一、方案介绍

经过长期研究，本方案可用于红队行动初始访问和持久化，适用于卡巴斯基，360安全卫士等环境下红蓝对抗演练、数字取证、廉政合规等用途，是全网唯一能绕过该防御的高级技术。

执行链路如下：

运行lnk—》远程下载诱饵文档打开—》远程下载释放白加黑—》创建持久化—》上线C2

二、发布内容

一套完整的项目由平台(C2)、加载器(Loader)、途径三部分构成：

• 平台指的是运行在服务器上的C2，决定了有效载荷是否能绕过特征检测机制（如静态特征，内存特征）并与服务器通信。
• 加载器指的是运行在终端上的程序（通常为白加黑或单可执行文件），加载器用于加载我们的C2有效载荷（payload）至内存。决定了是否能隐蔽运行有效载荷。
• 途径指的是通过某一种技术投递（如lnk快捷方式），通常是社会工程学。

本文发布的是途径部分，平台已在之前介绍，加载器在本技术中也得到使用。

三、技术简介

执行lnk后远程下载一个同名诱饵文档至temp目录，打开迷惑用户，远程下载一组高级白加黑至appdata下某目录，不存在则创建，解压至该目录，删除自身，计划任务维持权限，启动高级白加黑，执行有效载荷上线。

本方案存在诸多关键技术绕过，其中包括：

1. 执行system下的命令是如何绕过360监控的？这里采用了未被公开的技术。
2. 白加黑落地并运行是如何绕过监控的？采用了高级白加黑技术，及一些未被公开的技巧。
3. 持久化是如何绕过监控的？这里采用了com接口创建计划任务。
4. 为什么卡巴斯基无法检测，这里采用了完全无法检测的cobaltstrike有效载荷，完全绕过卡巴斯基企业版内存扫描。

本项目由两部分构成，一个lnk快捷方式，一个文件夹，实际使用中可修改文件夹名称，投递时需进行压缩，运行时需进行解压。

其中相关配置可高度自定义：包括默认诱饵文档、远程下载链接、任务名、运行时间、创建者等。

四、武器展示

视频区域

视频区域

五、你将获得

1.本方案详细技术细节。

2.高级白加黑技术。

六、免责声明

本文涉及方案仅限合法授权的安全研究、渗透测试用途，使用者须确保符合《网络安全法》及相关法规。具体条款如下：

• 仅可用于已获得书面授权的目标系统测试；
• 遵守法律法规，不得用于侵犯他人隐私或数据窃取；

本人不承担因用户滥用本软件导致的任何后果。使用即视为同意并接受上述条款。

推荐阅读

• 来看下泳池派对还能绕过多少杀毒软件
• 高级lnk快捷方式武器化
• 顶级武器-完全无法检测的cobalt strike