欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

跨平台宏钓鱼入侵Payload的介绍及应用门径

来源:本站整理 作者:佚名 时间:2017-09-07 TAG: 我要投稿

对于渗入渗出测试职员来说,通过Microsoft Office Word文档或Excel电子表格来完成Internet钓鱼是一种非时常见的手艺,而跟着愈来愈多的企业初阶安排Mac终端,跨平台的恶意宏Payload也逐渐变得越来越须要了。

之前的研讨
来自Black Hills安全公司的钻研团队目前能够运用Empire并通过手动方式生成跨平台的歹意宏Payload,而咱们的团队也可以颠末配合Empire和Cobalt Strike Payload来天生歹意Office宏Payload。当时,最艰难的那部竞争作咱们也曾帮各人完成了:我们基于@enigma0x3和@harmj0y的原始恶意宏模块斥地了一款新版本的Empire模块,而这个新的模块能够适用于Windows和Mac平台。
Empire项目主页
【点我走访】
器材简介

在Empire中,咱们需要设置一个监听器,往后运行敕令“usestager multi/macro” ,下令后背加上”info”便能够搜检到关系的设置选项以及介绍信息:

呼吁运转之后,将会天生一个宏,你可以直接将其复制粘贴到宏编纂器中,以后你还可以直接将其发送给你的方针用户。
在宏文件起头运转之后,它起首会检测当前的运转平台及情况,假设今朝状况为macOS的话,它将会加载Office 016 for Mac版所需的一些dylib文件(默许运行在macOS沙箱状况中)。当歹意Office文档被掀开以后,宏的性能便会被触发。
接上来,文档还会检测今朝的利用零碎版本。假定是macOS,恶意宏将会通过shell饬令调用curl来接见一个追踪URL。宏Payload残剩的一部分跟此前针对Mac的Empire宏Payload沟通,但凡一些Python Payload。假设是Windows,宏将会调用XMLHTTP并走访一个追踪URL,而残存有部分则是跟Windows的Empire宏Payload相似,凡是一些PowerShell Payload。
追踪URL可以搀扶帮助进击者来解析和判断文档能否被打开过(不波及Shell号令,由于终端珍惜器材或网络IPS有也许樊篱代码实行或通讯音讯),默许设置装备摆设下追踪URL指向的是localhost,无非用户也能够自行抉择使用第三方像素/广告追踪供职或应用本身的Web效劳器以及域名来配置Empire选项中的追踪URL。

假如你想遵循目的独霸体系来决定运用不同类型的Payload,你可应用Empire来生成跨平台宏今后替换掉宏文件中差别操纵琐屑一小块的Payload代码。比方说,你可以生成一个Gobalt Strike宏payload,尔后将其复制粘贴到Windows Empire Payload中,并用复活成的Empire跨平台宏变革掉代码中无关Windows的谁人部门。多么一来,咱们不但可应用得多新的屈从,并且仍然能够维持恶意宏的跨平台共性。
在macOS中,纵然处于沙盒情况,打击者如故可以利用存在bug的AppleScript(“osascript”)东西来生成垂钓窗口并尝试诱骗用户输出自身的密码,无非沙盒的限度依然会对该东西发生影响。是以,咱们团队的@DisK0nn3cT向Empire模块中增加了一个对于沙盒形式的新屈就(“u搜索引擎营销odule python/collection/prompt”),并能够利用macOS文件阶梯来绕过某些沙盒限度,因此冲击者如故可以在macOS下触发钓鱼窗口。
 

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载