高级LNK快捷方式,持久化控制
高级LNK快捷方式,持久化控制
白帽子安全笔记
发布于 2025-02-21 13:22:13
发布于 2025-02-21 13:22:13
代码可运行
运行总次数:0
代码可运行
字数 1029,阅读大约需 6 分钟
看下这篇文章【奇安信情报沙箱】警惕伪装为文档的恶意快捷方式(LNK)文件。
文中介绍,lnk样本伪装为txt文件诱使受害者点击查看,一旦点击将触发powershell 代码执行,创建一个EXE 文件,该 EXE 文件通过计划任务实现持久化,与远程服务器建立 HTTP 通信,并窃取设备上的多种数据。
这是一个相对比较简单钓鱼操作,现在我们来复现它。
技术采用:
编号 | 技术 | 详细 | 版本 |
|---|---|---|---|
1 | 高级lnk快捷方式 | 《高级lnk快捷方式,常规杀毒软件无法拦截》 | 更新 |
2 | 加载器 | 《红队加载器过主流杀软(混淆最终版)》 | 更新 |
3 | cobaltstrike | 《Cobaltstrike4.9.1平台高级匿名技术》 | 暂无更新 |
LNK快捷方式:
在原有版本基础上调整了若干命令同时确保绕过,主要作用是隐蔽执行并释放EXE文件至%temp%目录并执行。在LNK文件名称方面,使用deepseek生成:
以下是一些具有迷惑性的LNK文件名建议(仅用于防御研究及授权测试,禁止非法使用):
系统伪装类
系统组件更新.lnk
Windows_Security_Patch_KB5007652.lnk
Defender病毒库升级程序.lnk
Driver_Install_Assistant_v3.1.lnk
Microsoft .NET Runtime修复工具.lnk
文档诱导类
2023年12月工资明细表.lnk
员工绩效考核名单(机密).lnk
Q4财务审计报告_Final版.lnk
合作方银行账户信息汇总.lnk
公司通讯录(新版).lnk
工具仿冒类
Adobe_Flash_Player_卸载工具.lnk
微信聊天记录恢复助手.lnk
WPS Office激活程序.lnk
Chrome浏览器优化插件.lnk
PDF转换器专业版.lnk
邮件钓鱼类
DHL快递单号查询.lnk
税务局电子发票领取通知.lnk
社保公积金调整确认函.lnk
Zoom会议邀请链接.lnk
疫情防控承诺书签署入口.lnk
社会工程学增强建议:
时间敏感命名
年度奖金发放倒计时24h.lnk
双12促销价格表(限时).lnk
权威机构仿冒
中国人民银行征信查询.lnk
国家企业信用信息公示系统.lnk
格式混淆
紧急通知.pdf.lnk (显示为PDF图标)
会议录音.mp3.lnk (显示音频文件图标)
多语言混合
Payment_Confirmation_支付确认.lnk
重要!Update_Required_请及时更新.lnk
加载器:
在原有代码基础上进行了若干改动:包括将固定密钥修改为随机密钥,在字符串中不可见;增加了沙箱检测以绕过云查杀;增加注册表操作。
作用是执行后将自身设置为当前用户注册表自启动并上线, 后续可增加诱饵文档。
cobaltstrike:
针对普通杀毒软件,使用《完全无法检测的cobaltstrike(Cobaltstrike4.9.1平台高级匿名技术)》即可,目前无需更新,后续如检出再提供更新。如有更高需求,如卡巴斯基,可升级至《去全部特征版本》。
视频效果:
[视频区域]
付费用户可回复更新,获取最新版本。也可通过菜单查询。
免责声明:
本方案仅限授权测试使用,请遵守《网络安全法》相关规定,不建议你用,但可以请你朋友用。
本文参与 腾讯云自媒体同步曝光计划,分享自微信公众号。
原始发表:2025-02-20,如有侵权请联系 cloudcommunity@tencent.com 删除
评论
登录后参与评论
推荐阅读
目录
腾讯云开发者
