在普通 PDF 或 EXE 中嵌入恶意可执行文件

今天,我们将展示如何创建一个看起来像 PDF、Word 文档或 Web 浏览器可执行文件的恶意可执行文件,具有正常文件/程序的功能,而且还有我们嵌入的恶意可执行文件。为此,我们将使用 WinRaR,可以在此处下载:

WinRAR 归档程序,处理 RAR 和 ZIP 文件的强大工具

WinRAR 是一款 Windows 数据压缩工具,专注于所有 Windows 的 RAR 和 ZIP 数据压缩格式…

www.rarlab.com

我们假设我们已经制作了恶意可执行文件,它将在受害者主机上执行某些操作或向我们发送反向 shell。以下是创建看起来合法的文件的步骤:

  1. 使用https://iconfinder.com查找您想要的恶意可执行文件的 PNG 图标。在此示例中,我们使用 chrome,但您可以搜索任何文件类型徽标。单击“下载 PNG”。
在普通 PDF 或 EXE 中嵌入恶意可执行文件

2. 使用 https://iconconverter.com 将图标 PNG 转换为 .ico 文件上传之前的 PNG 并单击“转换”。

在普通 PDF 或 EXE 中嵌入恶意可执行文件

3. 在桌面上选择并右键单击真正的 chrome 浏览器 exe(在我的例子中)和恶意可执行文件,然后选择“添加到存档…”以创建组合存档。

在普通 PDF 或 EXE 中嵌入恶意可执行文件

存档文件名只是 chrome.exe 看起来合法。确保选中“创建 SFX 存档”。

在普通 PDF 或 EXE 中嵌入恶意可执行文件

单击高级 > SFX 选项 > 设置并输入以下内容:

在普通 PDF 或 EXE 中嵌入恶意可执行文件

输入test.exe(你的恶意exe)和合法的chrome.exe(执行恶意exe后打开的程序)

在普通 PDF 或 EXE 中嵌入恶意可执行文件
在普通 PDF 或 EXE 中嵌入恶意可执行文件
输入文件图标
在普通 PDF 或 EXE 中嵌入恶意可执行文件

输入上述参数后,单击“确定”,名为 chrome.exe 的存档将在桌面上弹出,并带有正确的 chrome 图标。双击 chrome.exe 将执行我的恶意可执行文件,并像平常一样打开浏览器选项卡。当使用另一个非恶意 exe 执行我们的 exe 时,不需要其他任何东西来绕过 Defender,这样工作就完成了。

在普通 PDF 或 EXE 中嵌入恶意可执行文件
恶意 Chrome 与真实 Chrome 相邻

4.(可选 –如果使用除 exe 之外的其他文件类型,如 PDF)我们将使用从右到左覆盖 (RTLO) 来更改创建的存档,使其在桌面上看起来像 PDF,但作为 EXE 执行。从右到左覆盖(RTO 或 RTLO)是一种 Unicode 非打印字符,用于编写以从右到左方式读取的语言。它接受输入并实际上只是将文本翻转过来。

让我们将文件名更改为看起来半正常翻转的名称,例如 Reflexe.pdf。我们将插入我们的 Unicode,使其在受害者桌面上看起来像 Refl[Invisible Unicode stuff]exe.pdf,但实际上是 Refl[invisible Unicode stuff]fdp.exe。

在普通 PDF 或 EXE 中嵌入恶意可执行文件

在 Windows 上打开字符映射表应用程序并选中“高级视图”框。在“转到 Unicode”选项中,输入 202E。分别点击“选择”和“复制”按钮,然后编辑我们创建的 WinRaR 存档的文件名。输入文件名 Refl[CTRL+ v]fdp.exe,然后返回并将 Unicode 粘贴到指定的位置。一旦您点击粘贴,该文件就会更改为 Reflexe.pdf。

但我们有一个问题 – 因为这是启动可执行文件的已知文件类型 (.pdf),所以 Windows Defender 很快就会对其进行标记。

在普通 PDF 或 EXE 中嵌入恶意可执行文件

解决这个问题的一种方法是使用同形文字。归根结底,我们只想让用户看起来像 PDF,那么他们发现其中一个字母看起来有点不同的可能性有多大呢?我使用此资源手动测试 Defender 将标记的内容:

同形文字攻击生成器

Ironeek 的信息安全网站提供教程、文章和其他信息。

www.irongeek.com

我专注于字母 p、d 和 f,看看是否可以交换任何不会被注意到的字母,我发现“f”的这种变体看起来很合适。我将名称 Refl f dp.exe 中的同形字“f”替换为正常的“f”,然后像以前一样在它之前插入 RTLO 以创建 Reflexe.pd f,这应该为防御者提供不同的签名:

在普通 PDF 或 EXE 中嵌入恶意可执行文件
同形字“f”
在普通 PDF 或 EXE 中嵌入恶意可执行文件
带有假“f”的文件名与带有真实“f”的文件名

亲爱的,你不能(我不能..)通过观察来区分它!使用我的新 .pdf 扩展名,Windows Defender 实际上在打开 pdf 之前开始扫描,让它打开,然后几秒钟后隔离我的 PDF 文件。然而,这是在我的恶意可执行文件启动反向 shell 之后。就我而言,我在攻击者机器上通过 Villain 收到了一个 netcat shell:)

在普通 PDF 或 EXE 中嵌入恶意可执行文件

现在,我们只需对受害者进行社会工程,让其在 Windows 主机上下载并打开此 Reflexe.pdf 或 chrome.exe。我希望你喜欢这篇文章!

© 版权声明
THE END
喜欢就支持一下吧
点赞9 分享
评论 抢沙发

请登录后发表评论

    暂无评论内容