0x01[RTL]

  • Right-to-Left Override
  • 微软中东Unicode字符8328或者0x202E
  • 阿拉伯语言从右往左书写,可以用以伪造文件名以欺骗钓鱼
import os
os.rename('mm.exe',u'QQ截图2022062855025Sav\u202Egnp.exe')

image-20220628150130042.png
image-20220628150225552.png

0x02[快捷方式]

  • 应用场景

    • 可以看到上面RTL后还是显示的应用程序,如果做成一个快捷方式就会看着十分正常了,而且还可以修改图标
    • 但是应用场景也需要改变一下,毕竟是快捷方式,肯定是需要有链接指向本体的
    • 不过快捷方式也可以尝试调用目标本地的相关程序,如cmd.exe,可以直接伪造,看具体需求了,例如如下
  • 制作示例

image-20220628163243879.png

  • 不过缺点也很明显

    • 首先是后面的被执行程序的路径,经过测试发现是相对于cmd.exe的路径而言的,在模式目标环境中如何拿到相对cmd的路径是个问题
    • 然后是如果快捷方式使用系统自带的图标,一旦环境有差异,文件图标很容易变成白板
    • 可以修改lnk的ico_location标志位,修改成常规的后缀,这样系统可以自动联想打开方式
    • 具体操作

0x03[图标修改]

  • MSF可以在生成载荷的时候自定义图标(其实是绑马)
  • 其次还有一些方法比如使用网络上的程序,或者使用Pyinstaller打包的时候指定图标
  • 对于网上已有的相关修改图标的工具,绝大多数都被标记为病毒程序,首先是不知道修改完图标后的程序会不会被杀,其次是不清楚工具软件自身是否干净

  • 在虚拟机里面使用一款叫IconEditor的软件进行测试(随便找的)

    • 准备一张ico图片作为图标:转ICO
    • 准备要被绑定的exe

{162F1E5C-C3D1-41A0-51C8-0121912135C8}.jpg
{0D22F25D-688E-9F8B-689E-C93C6904F405}.jpg

  • 也可以使用Pyinstaller,直接写Python恶意程序然后打包
pyinstaller -F -w -i dy.ico Trojan.py
# -F 指定文件
# -w 运行不弹黑框(cmd)
# -i 指定ico图标

  • 然后是一些Tips

    • 我的做法是将exe的图标做成二维码(如上面所示)
    • 然后利用RTL将文件后缀伪装成png
    • 经过测试,RTL的文件没法在一些通讯软件上传播,例如QQ,同时利用Windows原生的[发送到压缩文件夹]也可能会报错,于是我使用了winrar这类的软件进行打包
    • 而且打包一次仍然没法通过QQ的扫描,需要打包两次并加密码
    • 不过即使是如此,我们还是可以做一些诱导性的内容进一步增香鱼饵,比如来点擦边图

image-20220628194746772.png
image-20220628194855270.png

  • 压缩软件显示了一些容易引起鱼儿警觉的痕迹,可以通过长文件名来掩饰

image-20220628195037126.png

0x04[自解压文件]

  • 利用WinRAR的自解压功能来隐藏要执行的文件
  • 原理其实就是例如点击一个exe,这个exe内部自定义的文件可以被优先执行,而这个exe可以使用WinRAR生成

  • 创建流程

    • 首先准备一个文件夹,并将要执行的文件放入其中,例如exe,vbs,bat

image-20220629101905512.png

  • 然后Add to archive

image-20220629101358686.png

  • 修改rar拓展名为exe,勾选上Create SFX archive

image-20220629103656516.png
image-20220629102432624.png
image-20220629104152576.png