在有360的环境下,常规技术都会被拦截和技术失效,包括cmd、powershell、rundll32等等命令以及其他公开技术。
一、方案介绍
经过长期研究,本方案可用于红队行动初始访问和持久化,适用于卡巴斯基,360安全卫士等环境下红蓝对抗演练、数字取证、廉政合规等用途,是全网唯一能绕过该防御的高级技术。
执行链路如下:
运行lnk—》远程下载诱饵文档打开—》远程下载释放白加黑—》创建持久化—》上线C2
二、发布内容
| 编号 | 方案 | 类型 | 内容 | 状态 |
|---|---|---|---|---|
| 1 | 高级lnk快捷方式新技术 | 途径(手段) | lnk3.0武器化 | 发布 |
一套完整的项目由平台(C2)、加载器(Loader)、途径三部分构成:
- 平台指的是运行在服务器上的C2,决定了有效载荷是否能绕过特征检测机制(如静态特征,内存特征)并与服务器通信。
- 加载器指的是运行在终端上的程序(通常为白加黑或单可执行文件),加载器用于加载我们的C2有效载荷(payload)至内存。决定了是否能隐蔽运行有效载荷。
- 途径指的是通过某一种技术投递(如lnk快捷方式),通常是社会工程学。
本文发布的是途径部分,平台已在之前介绍,加载器在本技术中也得到使用。
三、技术简介
执行lnk后远程下载一个同名诱饵文档至temp目录,打开迷惑用户,远程下载一组高级白加黑至appdata下某目录,不存在则创建,解压至该目录,删除自身,计划任务维持权限,启动高级白加黑,执行有效载荷上线。
本方案存在诸多关键技术绕过,其中包括:
- 执行system下的命令是如何绕过
360监控的?这里采用了未被公开的技术。 - 白加黑落地并运行是如何绕过
监控的?采用了高级白加黑技术,及一些未被公开的技巧。 - 持久化是如何绕过
监控的?这里采用了com接口创建计划任务。 - 为什么卡巴斯基无法检测,这里采用了完全无法检测的cobaltstrike有效载荷,完全绕过卡巴斯基企业版内存扫描。
本项目由两部分构成,一个lnk快捷方式,一个文件夹,实际使用中可修改文件夹名称,投递时需进行压缩,运行时需进行解压。
其中相关配置可高度自定义:包括默认诱饵文档、远程下载链接、任务名、运行时间、创建者等。
四、武器展示
[视频区域]
高级lnk快捷方式3.0
[视频区域]
高级lnk快捷方式3.0
五、你将获得
1.本方案详细技术细节。
2.高级白加黑技术。
六、免责声明
本文涉及方案仅限合法授权的安全研究、渗透测试用途,使用者须确保符合《网络安全法》及相关法规。具体条款如下:
- 仅可用于已获得书面授权的目标系统测试;
- 遵守法律法规,不得用于侵犯他人隐私或数据窃取;
本人不承担因用户滥用本软件导致的任何后果。使用即视为同意并接受上述条款。
扫一扫
6405
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
