用IExpress制作免殺木馬攻擊 實戰演示
以下的文章主要向大家講述的是用IExpress制作免殺木馬攻擊的案例演示,眾所周知文件捆綁攻擊主要是在正常的Exe中捆綁一個木馬程序,當用戶打開被捆綁的木馬程序之后,會同時執行正常程序和木馬程序,由于木馬程序執行時無窗口等。
因此隱蔽性較高,文件捆綁需要解決的主要技術就是防范殺毒軟件對捆綁程序以及木馬程序的查殺。
通過本案例可以學到:
(1)了解文件捆綁的相關知識
(2)利用“用IExpress”捆綁木馬文件
比特網專家:文件捆綁攻擊主要是在正常的Exe中捆綁一個木馬程序,當用戶打開被捆綁的木馬程序后,會同時執行正常程序和木馬程序,由于木馬程序執行時無窗口等,因此隱蔽性較高,文件捆綁需要解決的主要技術就是防范殺毒軟件對捆綁程序以及木馬程序的查殺。本案例以IEexpress安裝制作程序為例來制作一個帶木馬程序的應用程序。
1.準備原材料
利用Iexpress捆綁木馬文件來進行攻擊,首先需要準備有吸引力的文件,被攻擊者一看到這些文件,就毫不猶疑的去執行。本案例僅僅是為了說明捆綁文件攻擊的思路,因此未對材料進行精心選擇,隨機準備一個軟件。
2.運行Iexpress,選擇自壓縮指導文件(SED)
本案例使用的是漢化版Iexpress,解壓縮Iexpress后,直接運行“IExpress”即可啟動IExpress程序。在開始的時候會有兩個選項供選擇,一個是“創建新的自解壓縮指導文件”,另一個是“打開現有的自壓縮指導文件”,如圖1所示。在本例中選擇第一項,然后點擊“下一步”按鈕。
圖1選擇自壓縮指導文件
3.選擇軟件包的最終目的
在選擇軟件包的最終用途中有“將文件解開并運行安裝命令”、“僅將文件解開”和“僅創建壓縮文件(ActiveX安裝)”三種選擇。在本例中所制作的是木馬解壓包,所以應該選擇第一項,如圖2所示。
圖2 選擇軟件包的最終目的
4.輸入軟件包標題
在軟件包標題中輸入“最牛逼的系統密碼獲取軟件”后,單擊“下一步”,在“確認提示”中,軟件會詢問在木馬程序解包前是否提示用戶進行確認,由于制作的是木馬程序的解壓包,當然越隱蔽越好,選擇第一項“不提示”,這么做的目的是讓中招人毫無防備。單擊“下一步”按鈕,在接下來的添加“用戶允許協議”中添加一個偽裝的用戶協議迷惑中招者,選擇“顯示用戶允許協議”,單擊“瀏覽”選擇一份編輯好的TXT文檔,,設置完畢后點擊“下一步”。
5.選擇打包文件
在打包文件中,單擊擊該窗口中的“添加”按鈕添加木馬和將要與木馬程序捆綁在一起的合法程序。根據剛才編輯的協議文件的內容添加合法程序,在本案例中選擇的合法程序是“LSASecretsView”,木馬程序是由“spyone漢化版”配置的木馬服務端,添加完畢后如圖3所示。
圖3 添加打包文件
6.選擇安裝啟動程序
指定安裝程序和安裝結束后運行的程序。在安裝程序中選擇“LSASecretsView.exe”,該程序為主程序;在后安裝命令中選擇“svcr.exe”,如圖4所示,該程序為木馬程序。主程序(LSASecretsView.exe)執行后,再執行木馬程序(svcr.exe),這樣也就達到了木馬捆綁的目的。
圖4 選擇安裝啟動程序和后安裝命令程序
7.選擇軟件在安裝過程中的顯示窗口
由于木馬程序是和合法程序捆綁在一起的,所以選擇“默認”即可,然后單擊“下一步”,設置程序安裝結束是否顯示消息,由于在安裝程序中捆綁了木馬程序,因此選擇“不顯示消息”。
8.設置自解壓程序的保存位置和名稱
單擊“瀏覽”按鈕設置自解壓程序制作完成后保存的文件名稱和文件路徑,然后選擇“不向用戶顯示文件解壓縮進度”,以便隱藏解壓縮過程,有助于隱藏某些木馬程序啟動時彈出的命令提示框,如圖5所示。
圖5設置自解壓程序的保存位置和名稱
9.設置啟動方式
設置在軟件安裝完成后是否重新啟動,可以根據實際需要來選擇。如果你所用的木馬是“即插即用”的,那么就選擇“不重新啟動”;如果所采用的木馬用于開啟終端服務,那么可選擇“總是重新啟動”,同時選擇“重新啟動前不提示用戶”,如圖6設置在軟件安裝完成后是否重新啟動所示。
圖6設置在軟件安裝完成后是否重新啟動
10.制作自解壓程序并測試木馬程序
在保存自解壓縮向導中單擊“下一步”按鈕,即可開始制作木馬自解壓程序。整個制作過程是在DOS下進行的,在完成度達到100%后會彈出提示窗口,點擊“完成”按鈕,用IExpress制作免殺木馬攻擊也就完成了,生成的木馬跟正常的安裝程序完全一樣,如圖7所示。
圖7制作成功的自解壓木馬程序
開啟“spyone漢化版”客戶端程序并監聽“888”端口,然后雙擊運行“最牛逼的系統密碼獲取軟件.exe”,一會兒本機就上線了,如圖8所示。
圖8 執行程序后木馬上線
說明
很多流氓軟件都是采用這種方式來制作,制作完畢的軟件跟正常的安裝軟件什么區別,而且殺毒軟件不會查殺,在安裝這種捆綁有木馬程序或者其它的程序時,首先執行指定的主程序,然后執行木馬程序或者其它程序。
小結
本案例的要點是配置一個好的木馬和選擇一些好的原材料,制作過程非常簡單,只需要簡單的幾步操作即可完成。使用IExpress捆綁木馬程序制作完畢后,需要在本機或者虛擬機上進行測試,如果能夠成功,則可以掛在互聯網上任其下載,一旦有用戶下載并執行,肉雞也就會源源不斷自動送上門。
以上的相關內容就是對用IExpress制作免殺木馬攻擊案例的介紹,望你能有所收獲。
