九维团队-红队（突破）| 剖析一个红队常用Cobalt Strike钓鱼...

ivi

SY.zheng 安恒信息安全服务 2023-12-06 11:28 发表于北京

前段时间参加攻防演练时，观察到威胁情报中钓鱼层出不穷，突然就来了兴趣，钓鱼程序该怎么制作，于是就有了这篇内容(大佬勿喷)。
（注意：请勿随意传播后门木马程序，仅供测试使用！）

一.cs生成payload.c

设置好监听：

生成payload.c：

保存：

二. 初步免杀生成EXE文件

使用某免杀工具生成exe文件。

生成以下可执行文件；

放到“1”文件夹下，使用电脑系统自带某绒静态查杀：

发现会被检测出来，需要进行后续处理。

三. 加壳免杀处理

该步骤的目的是令文件可通过电脑系统自带某绒静态查杀。

这里笔者使用的是themida加壳软件，效果还不错，但也只能过系统自带某绒。想要的可以点链接下载：

1. 链接：https://pan.baidu.com/s/153AuS8naDELB1_UvhMmTSg
   
2. 提取码：suga

复制代码

解压完有两个exe文件，一个是用来给64位的加壳用的，一个是32位用的。

这里需要对FBK.exe木马文件进行加壳处理，FBK.exe是64位的，打开themida64.exe，，选择完文件后，点击protect，等待生成即可。

将生成的文件再放到“1”文件夹下，用电脑系统自带某绒静态查杀。

加完壳后查杀不出来。

四.捆绑其他软件

虽然能够通过某绒查杀，但现在正常人都知道文件不正常 = =，不会有谁想点开它。我们需要进行捆绑。

需要用到的软件：

• 压缩软件：WinRAR
  
• 刷钻.exe(可自选)
  
  

这里笔者用来捆绑的是一个测试软件，刷钻.exe文件，没有什么实质性功能。

打开后的界面如下图所示，输入账号密码后会提示“你被骗了”。

(注：这里最后也对需要捆绑的软件进行加壳处理，因为Themida加壳完运行的时候会弹出来一个themida保护程序，两者都进行加壳，会比较逼真。)

创建自解压文件（把木马文件捆绑到刷钻.exe程序上） 。

全选两个文件，点击添加到压缩文件：

设置如下：点击创建自解压格式压缩文件。

点击高级：自解压选项。

解压路径可以自己选择，只要是windows自带的文件夹即可，这里选择的是公共。

点击设置，设置为如下，解压后运行选择为FKB_protected.exe，解压后运行选择为刷钻.exe。

点击模式，设置为全部隐藏。

点击更新，配置如下，更新模式为：解压并更新文件；覆盖模式为：覆盖所有文件。

一切配置完毕后点击确定。

五. 伪造其他图标

生成了一个很丑的文件图标，正常人都不会点，我们需要把图标换成刷钻.exe的图标。

过程如下：

需要使用的软件：

图标软件：Restorator

如果有需要可以从下方链接进行下载：

1. https://pan.baidu.com/s/1QFFY5uPzu2zZX_GStcS89A
   
2. 提取码：suga

复制代码

该软件需要激活码，使用以下注册码激活：

1. 名字：JuNoS
   
2. 授权注册码：eTM0afo7NHb+LdpcduPV4OOXfY2mppIQDxhdusa-qFG8sNfUCMIH6zNZI0M9L9Wuj46ROqd7soWDLinqUepIo2Z63YIaBvjuC2R7MeLBla8MhVNOIMn742RgMQh0ApZ2SJ5kIyYHpPhgcW5zu7R1-j5aenV2paLGFv5Z3lZM7KY

复制代码

打开软件后，将需要更换的那个图标软件拉到资源树下面

这个软件bug较多，最好是直接用鼠标左键把图标拉到桌面上：



然后关掉软件，重新打开，将捆绑了木马的软件拉到资源树下，把刚刚保存到桌面的图标用鼠标拉到刚刚打开的软件的图标，进行替换(用其他方法很容易卡住)，替换完保存即可，如下所示：


如下，成功将软件图标替换成了刷钻.exe的图标。

再进行杀毒测试：

放到文件夹“1”下，用系统自带某绒进行静态查杀：

查杀不出来。

六. 上线Cobalt Strike测试

开个cs：

双击运行刷钻程序。

运行的时候会先弹出Themida提示说程序被加壳保护，再次点击：

注：

themida加壳软件是软件保护系统，是为了防止应用程序免受高级逆向工程和软件破解的软件，加壳完都会有这个开始提示，如果有去掉的需求，可以使用OllyDbg来去除Themida的开始提示：

1.打开应用程序，分析程序的启动过程：在OllyDbg中，通过单步执行（Step Into）等调试功能，观察程序的启动过程，寻找与Themida开始提示相关的代码。
2.定位Themida开始提示的代码：通过分析程序的代码和调用堆栈，尝试定位与Themida开始提示相关的代码段。
3.修改代码，去除开始提示：找到与Themida开始提示相关的代码段，使用OllyDbg提供的功能来修改代码，去除或修改开始提示的逻辑。包括修改条件分支、替换函数调用或修改变量值等操作。
4.重新保存修改后的应用程序：在完成代码修改后，将修改后的应用程序重新保存。

弹出刷钻程序，关闭刷钻程序时，FBK_protected.exe文件就会运行。

上线成功。

七. 加固建议

1.员工教育和意识培训：

钓鱼攻击的成功往往依赖于用户的不知情或疏忽。通过对员工进行定期的社会工程学培训，提高他们对钓鱼攻击的认识和警惕性，可以有效减少成功攻击的可能性。

2.强化邮件过滤和安全策略：使用安全的电子邮件网关和反垃圾邮件解决方案，以过滤和阻止恶意钓鱼邮件的传送。此外，实施强密码策略、多因素身份验证和安全邮件标记等措施也可以增加防御层级。
3.定期更新和维护系统：及时安装操作系统和应用程序的补丁和更新，可以修复已知的漏洞，减少攻击者利用的机会。
4.网络流量监测和入侵检测系统（IDS/IPS）：部署网络流量监测工具和入侵检测系统，可以及时发现和阻止异常或恶意行为，包括检测钓鱼攻击的流量模式。
5.多层防御策略：使用多层防御策略，包括防火墙、入侵防御系统（IDS）、反病毒软件和安全信息和事件管理（SIEM）系统等，以增加检测和阻止钓鱼攻击的能力。
6.强化访问控制和权限管理：限制用户的访问权限，实施最小权限原则，并定期审查和更新权限设置，以减少攻击者在系统中的活动范围。
7.监测异常行为和活动：实施安全事件和日志管理，监测系统和用户的异常行为和活动，及时发现并应对潜在的钓鱼攻击。