在普通PDF或EXE中嵌入恶意可执行文件的技术分析

免责声明

使用这些工具和方法对未获得明确许可的主机进行测试是非法的。使用这些工具和方法可能造成的任何麻烦均由您自行负责。

技术概述

本技术演示了如何创建一个看似正常的PDF、Word文档或网页浏览器可执行文件，实际上却包含嵌入的恶意可执行文件。该方法利用WinRAR的自解压功能和Unicode字符欺骗技术绕过安全检测。

所需工具

1. WinRAR (下载地址: https://www.rarlab.com/download.htm)
2. 图标转换工具 (推荐: https://iconconverter.com)
3. 图标资源网站 (推荐: https://iconfinder.com)
4. 同形字生成工具 (可选: https://www.irongeek.com/homoglyph-attack-generator.php)

详细步骤

步骤1：准备恶意可执行文件

• 假设已制作好恶意可执行文件(test.exe)
• 该文件可在受害者主机上执行特定操作或发送反向shell

步骤2：获取合法程序图标

1. 访问iconfinder.com搜索目标文件类型的PNG图标(如Chrome浏览器)
2. 下载所选PNG图标
3. 使用iconconverter.com将PNG转换为.ico格式

步骤3：创建合并存档

1. 选择合法程序(如chrome.exe)和恶意可执行文件(test.exe)
2. 右键点击并选择"添加到存档..."
3. 设置存档名称为合法程序名(chrome.exe)
4. 勾选"创建SFX存档"选项

步骤4：配置SFX选项

1. 点击"高级" > "SFX选项" > "设置"
2. 输入以下参数:
   • 解压后运行: test.exe(恶意程序)和chrome.exe(合法程序)
   • 设置静默解压模式(不显示弹框)
   • 指定解压路径为临时目录
   • 加载之前转换的.ico图标文件
3. 点击"确定"生成文件

步骤5：(可选)使用RTLO技术伪装文件扩展名

1. 打开Windows"字符映射表"应用
2. 勾选"高级视图"框
3. 在"转到Unicode"输入202E
4. 复制该Unicode字符(RTLO)
5. 重命名生成的SFX文件为: Refl[CTRL+V]fdp.exe
   • 实际显示为: Reflexe.pdf
   • 注: 可直接右键重命名插入RLO控制字符

步骤6：绕过安全检测

1. 使用同形字替换关键字母(p,d,f)
   • 例如使用视觉相似但Unicode不同的字符
2. 结合RTLO技术创建看似无害的文件名
3. 测试不同组合以绕过Windows Defender

技术原理

1. SFX自解压技术: WinRAR的自解压功能允许在解压时自动执行指定程序
2. Unicode RTLO欺骗: 利用从右到左覆盖字符(202E)反转显示顺序
3. 同形字攻击: 使用视觉相似但编码不同的Unicode字符绕过特征检测
4. 时间差攻击: 恶意代码在安全机制扫描隔离前已执行

防御建议

1. 禁用不必要的自解压功能
2. 配置安全软件检测RTLO字符使用
3. 实施同形字检测机制
4. 限制未知来源文件执行
5. 启用行为检测而不仅是特征检测

注意事项

• 该方法可能被安全更新修补
• 实际效果因目标系统环境而异
• 仅限合法授权测试使用