2017-2018-2 20155225《網絡對抗技術》實驗二+ 後門進階

2017-2018-2 20155225《網絡對抗技術》實驗二+ 後門進階

惡意代碼綁定技術研究

EXE文件捆綁機——ExeBinder

EXE捆綁機能夠將兩個可執行文件(EXE文件)捆綁成一個文件，運行捆綁後的文件等於同時運行了兩個文件。它會自動更改圖標，使捆綁後的文件和捆綁前的文件圖標同樣，看不出變化，而且能夠自動刪除運行時導出的臨時文件。

在使用過程當中，最好將第一個可執行文件選爲正常文件，第二個可執行文件選爲木馬文件，這樣捆綁後的文件圖標會與正常的可執行文件圖標相同。

我嘗試在網上下了兩個ExeBinder都不能用，再嘗試其餘方法吧。

自解壓捆綁木馬

利用好壓軟件提供的自解壓功能，實現捆綁木馬。

1. 選中須要捆綁的兩個文件，選擇「添加到壓縮文件」

1. 設置壓縮參數，選擇壓縮格式爲7z，並選擇「建立自解壓格式」

3.點擊「自解壓選項」按鈕，設置安靜模式爲所有隱藏

1. 最後我將KMS8_V3.1.exe和met.exe壓縮獲得了一個自解壓壓縮文件，由於被我命名爲everything，因此圖標也是everything的圖標，但注意觀察會發現和正常的Everything軟件相比，文件多了66KB。如圖：

使用「北斗程序（Nspack）」壓縮

1. 下載Nspack
2. 在配置中，選擇「處理共享節」和「Windows DLL加載器」等參數，以下圖所示：

1. 切換回文件壓縮選項，從打開按鈕選擇須要壓縮的木馬文件，點擊壓縮按鈕，壓縮很快完成，能夠看到，Nspack的壓縮比很是高有65%。

圖片捆綁後門工具——FakeImageExploiter

FakeImageExploiter的原版描述是英文的，這裏我本身翻譯並理解了一下：

簡單地說，把圖片和payload一塊兒生成一個新的payload（代理程序），一旦執行這個假裝的新payload，就會觸發去下載存儲在Apache2下的兩個原文件（即原始圖片和原始payload）並執行。

同時，也會改變代理程序的圖標來和一個文件圖片匹配。而後用哄騙的方式（隱藏已知文件類型的擴展）來隱藏代理程序拓展。

全部的payload都會從Apache2上被下載，而且執行到目標內存中，這個惟一的須要將payload寫入磁盤的拓展是一個exe二進制文件。

FakeImageExploiter將全部文件存儲在apache2 webroot下，壓縮代理程序，啓動Apache和metasploit services(handler)，而且提供一個URL發送到主機。

同時它也將沒有壓縮的代理程序存入output文件夾下，以便咱們但願用其餘傳遞方式來傳遞。

最重要的一點！！！（找了很久，就是user提供的payload從哪裏放進去）Ag.jp.EXE要求輸入的文件在APACHE2（本地LAN HACK）中。

首先是配置文件，選擇

PAYLOAD_EXETNSION=bat（設置payload格式爲bat）

BYPASS_RH=NO（手動更改最終生成的圖標）

AUTO_PAYLOAD_BUILD=YES （自動生成Payload）

AGENT_HANLER_PORT=4444（監聽端口）

而後sudo ./ FakeImageExploiter.sh啓動FakeImageExploiter

出現問題，Wine system測試到wine系統是XP，而FakeImageExploiter須要win7.我嘗試從新安裝wine，但仍是失敗了，老師說不要過於糾結環境問題，主要是弄懂配置過程，因此直接作後面的步驟。

環境出了點小問題，但仍是啓動了，能夠看到picture是jpg格式，payload是bat格式

這時候FakeImageExploiter會自動生成payload，我選擇payload類型爲windows/meterpreter/reverse_tcp。

而後會讓你選擇綁定payload的圖片，必定是jpg格式的。

而後爲最終生成的後門重命名。

最終生成的文件呢，仍是由於wine的問題，沒有進行壓縮，在output文件夾下，仍是Apache2的webroot下都是payload.bat，圖片和cleaner.rc

同時自動開啓了監聽。

雖然payload和圖片最終沒有綁定在一塊兒，可是payload.bat仍是能夠用的，成功回連: