免杀木马+文件捆绑+权限伪装
免杀木马+文件捆绑+权限伪装
-
文章前言
通过学习使用Cobalt Strike来制作木马,使用摧日对其进行免杀覆盖,使用GoFilebinder对其进行免杀捆绑,最后利用Restorator对其进行图标修改。
-
环境和软件准备
\1. 一台windows系统的电脑作为攻击机
2.一台靶机
3.Cobalt Strike
4.摧日
5.GoFilebinder
6.Restorator
-
工具介绍
摧日:一款红队专用免杀木马生成器,基于shellcode生成绕过所有杀软的木马主要支持C语言的shellcode和纯十六进制的shellcode
GoFileBinder:golang免杀捆绑器
Restorator:一款修改exe执行程序图标的小工具 -
正文开始
选用cs中的c格式shellcode,用cs生成一个c语言的相关东西,同时勾选上x64
完成以上步骤后,接下来便开始对其进行免杀操作,用到的工具摧日对其进行免杀处理
使用前请先获取相关工具,并确保已经安装工具所需要的的go环境,至于go环境安装请各位自行查阅本文不在做出相关介绍,安装完毕后进行下一步操作。复制上一步中生成的c文件的中的相关字符,将其另存为一个新的文档,并将该文档与摧日工具的exe文件放在一个目录之中,并运行工具,运行成功后将会得到免杀后的文件hoshino.exe。用相关管家进行查杀后,都可以正常通过。
然后进行的操作是将这个马和正常的东西捆绑在一起,这个东西可以是可执行文件exe,也可以是文本txt,也可以是文档doc,任何你想的东西都可以进行捆绑。
最后实现的效果是:目标用户点击你发送的恶意文件之后会在你的CS客户端上上线,而且目标用户打开的文件可以正常的使用,并且你的木马文件会自动迁移到C:\Users\Public
下面将木马和一个txt文本文件进行捆绑:
将木马和txt文本文件还有GoFileBinder放在同级目录下,运行后得到如下结果,其中新出现的bilibili.exe就是我们要得到的文件
进行相关测试,将得到的文件双击后,该文件便会消失,在桌面上打开的便是我们所预设的ceshi.txt,并且我们的原文间将会自动一直到public目录下,cs也显示主机已经上线,至此所有工作已全部完成。
最后一步,权限维持,如果不进行权限维持的话,目标用户在进行电脑重启后便会让改文件关闭,因此便需要用对其增加开机自启的相关操作,其后续路径因为程序会自动移动到public目录下便很好就能设置,
1 | shell reg add HKLM\SOFTWARE\Microsoft\Windows\ |
最后利用Restorator工具对该文件进行图标美化操作,可以将其伪装成一些较为常见的进程图标,该工具的使用较为方便,本文在这里便不再进行相关的阐述,请自行理解!