【干货分享】LOLBins技法的钓鱼附件分析
2023-2-3 17:32:55 Author: 戟星安全实验室(查看原文) 阅读量:11 收藏

戟星安全实验室

    忆享科技旗下高端的网络安全攻防服务团队.安服内容包括渗透测试、代码审计、应急响应、漏洞研究、威胁情报、安全运维、攻防演练等

本文约****字,x图,阅读约需*分钟。

前言

在阅读文章后“LOLBins免杀技术研究及样本分析”,想起之前帮朋友分析的某红蓝钓鱼附件,就深入探索一下

攻击路径:投递简历社工hr,打电话让查看恶意附件

钓鱼附件

如果直接解压简历附件,受害者只看到一个pdf快捷方式

如果受害者点开文件夹浏览,可能察觉异常,不会中招

右键属性无法看到具体命令,使用工具(或winhex软件),发现是超长空格字符串隐藏真实参数,同样的手法也可以直接插入恶意命令(cmd.exe /argvs)

微步云沙箱报告,静态免杀全过,但是动态发现恶意行为特征,cs应该是没做内存免杀的

尝试还原免杀手法,经过反复测试,发现只要修改了_TUProj.dat文件就会出现错误,疑似文件内有某种校验值,可能需要逆向exe分析逻辑,放弃

使用LOLBins手法上线cs

如何发现LOLBins程序?这里放3个我觉得不错研究学习的参考

“Living Off The Land Binaries, Scripts and Librarieshttps://lolbas-project.github.io/“远控免杀从入门到实践之白名单(113个)总结篇https://www.freebuf.com/articles/system/232074.html”“基于白名单Msbuild.exe执行payload第一季https://micro8.gitbook.io/micro8/contents-1/71-80这里选择经典的MSBuild.exe,因为它win7&win10均自带,且低权限用户也可执行,常见路径是C:\Windows\Microsoft.NET\Framework\v4.0.30319\MSBuild.exe“MSBuild是微软提供的一个用于构建应用程序的平台,它以XML架构的项目文件来控制平台如何处理与生成软件。”

对应的XML文件收集到三种利用方式:

1、嵌入powershell命令内容,反连类型自定义2、嵌入可执行shellcode,反连类型自定义3、嵌入ip+端口,反连类型为TCP会话因为内部解析的是C#代码,理论上全部上线方式均可,后面杀软默认测试方式1,cs生成powershell命令

数字杀软默认配置(开启核晶防护状态)

xml文件模板均不杀,通过msbuild.exe执行(朋友说它命令执行cmd被杀了,某些配置下不能绕过):

进程注入不拦截、命令行添加用户不拦截

服务创建不拦截、注册表启动项不拦截(Run、Winlogon)

火绒默认配置

xml文件模板均不杀,通过msbuild.exe执行:

进程注入不拦截、命令行添加用户拦截(可bypass添加)

服务创建不拦截、注册表启动项不拦截(Run)

测试感觉火绒动态拦截主要以防护规则为主,直接执行powershell命令和使用白名单程序区别不大

xml内直接贴powershell命令可能被防护软件拦截,可混淆或者使用这个工具

通过图片镶嵌绕过检测,远程下载图片提取执行

https://github.com/peewpw/Invoke-PSImage

往期回顾

【内网渗透专题】转储lsass进程的小技巧
【漏洞挖掘系列】漏洞精彩瞬间之小漏洞大影响
【漏洞挖掘系列】浅谈登录框渗透方法
【漏洞挖掘系列】OSS的STS模式授权案例

声明

    由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,戟星安全实验室及文章作者不为此承担任何责任。

    戟星安全实验室拥有对此文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的完整性,包括版权声明等全部内容。未经戟星安全实验室允许,不得任意修改或者增减此文章内容,不得以任何方式将其用于商业目的。

戟星安全实验室

# 长按二维码 || 点击下方名片 关注我们 #


文章来源: http://mp.weixin.qq.com/s?__biz=MzkzMDMwNzk2Ng==&mid=2247508839&idx=1&sn=f5097670855547f05c881fccf51cb98c&chksm=c27ea976f509206024a13cec489086da6f555fdef7df55ee667963803c8e3ffe3ecad11ea8c9#rd
如有侵权请联系:admin#unsafe.sh