记一个常规的免杀钓鱼流程

本文章主要实现的功能是:用户点击伪装的PDF文件,然后受害主机上线到C2服务器。

本文涉及的工具和测试文件可通过百度网盘下载(提取码:fna5):Baidu Netdisk

1.使用CS生成可以上线的Python Payload

image-20221120233846963

image-20221120233920615

2.使用bypassAV生成免杀后的代码

bypassAV项目地址:https://github.com/pureqh/bypassAV

(1)将payload.py中的buf的内容,填充至go_shellcode_encode.py中的变量shellcode处,运行脚本后,生成混淆后的base64 payload。

image-20221120234636751

image-20221120234710606

1
2
3
4
5
6
先升级pip:
python.exe -m pip install --upgrade pip -i https://pypi.tuna.tsinghua.edu.cn/simple
再安装numpy模块:
pip install numpy -i https://pypi.tuna.tsinghua.edu.cn/simple
运行go_shellcode_encode.py:
python .\go_shellcode_encode.py

脚本运行结果:

image-20221120235051830

(2)将生成的base64 payload填至main.go中的build("payload")处。

image-20221120235343685

image-20221120235555906

(3)将main.go中的url替换为某个网页(可以正常访问的页面即可)

image-20221120235445630

(4)编译程序。

1
go build -trimpath -ldflags="-w -s -H=windowsgui" main.go

image-20221120235730176

3.使用GoFileBinder把exe捆绑个pdf文件

GoFileBinder项目地址:https://github.com/inspiringz/GoFileBinder?ref=golangexample.com

将使用bypassAV生成的免杀后的main.exe复制到GoFileBinder目录下。

先编译生成GoFileBinder主程序。

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
PS C:\Users\Blue\Desktop\ByPass\GoFileBinder> go build GoFileBinder.go
PS C:\Users\Blue\Desktop\ByPass\GoFileBinder> .\GoFileBinder.exe

╔═╗┌─┐╔═╗┬┬  ┌─┐╔╗ ┬┌┐┌┌┬┐┌─┐┬─┐
 ╦│ │╠╣ ││  ├┤ ╠╩╗││││ ││├┤ ├┬┘
╚═╝└─┘╚  ┴┴─┘└─┘╚═╝┴┘└┘─┴┘└─┘┴└─
https://github.com/inspiringz/GoFileBinder

Usage:
    C:\Users\Blue\Desktop\ByPass\GoFileBinder\GoFileBinder.exe <evil_program> <bind_file> [x64/x86]

将免杀程序main.exe与测试pdfAl.pdf使用GoFileBinder进行捆绑。

1
.\GoFileBinder.exe main.exe Al.pdf x64

注意:main.exe和Al.pdf前面不要加表示当前目录的"./",加的话会导致编译失败。

image-20221121003432451

现在我们得到了捆绑pdf后的免杀exe文件(AL.exe)。

4.给免杀的捆绑exe设置个图标(pdf缩略图效果)

现在的话,免杀的捆绑AL.exe文件还是没有任何图标的,比较原始,隐蔽性不高。

image-20221121005020632

(1)打开测试的pdf文档(Al.pdf)截个图生成1.png文件。

image-20221121004639768

image-20221121004717807

(2)使用pngZico将png图片转为ico图片

image-20221121005148030

(3)使用ico替换工具将免杀的捆绑AL.exe文件换图标为刚刚提取的1.ico。

image-20221121005224369

这样,我们就获得了有图标的免杀的捆绑AL.exe文件。

image-20221121005421631

这样的话,迷惑性就大很多了。

5.使用RLO改个后缀(名称中不建议有中文)

做戏尽量要做全套。我们再改下文件名,尽量使exe后缀看起来没那么明显。

首先,我们先打开个记事本,然后输入字符Al

image-20221121005812673

接着,右键选择"插入Unicode控制字符",再选择"RLO"模式。

image-20221121005915847

接着,只看着键盘输入fdp.exe。下面就是拼接后的效果。

image-20221121010120362

我们使用Ctrl+A全选这段字符串进行复制。接着选中有图标的免杀的捆绑AL.exe文件,选择重命名,然后全选文件名AL.exe,接着选择"粘贴"。效果如下:

image-20221121010432610

这样的话,看起来就像样的多了。

当我们运行这个文件,可以看到我们能正常打开测试的Pdf文件,同时,我们也能直接上线这台电脑。

image-20221121010558889

image-20221121010643237

当然,我们也可以尝试用别的方法将捆绑的文件改为png或jpg等图片文件,然后最后实现的效果就是打开一个正常图片的同时上线该主机。

image-20221121011908477

特别声明:
由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,我不为此承担任何责任。
作者有对此文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的完整性,包括版权声明等全部内容。未经作者的允许,不得任意修改或者增减此文章内容,不得以任何方式将其用于商业目的。切勿用于非法,仅供学习参考。
updatedupdated2022-11-212022-11-21