免杀钓鱼攻击流程详解

概述

本文详细解析一种常规的免杀钓鱼攻击流程，攻击者通过伪装PDF文件诱导用户点击，使受害主机上线到C2服务器。了解此类攻击手法有助于提高防范意识。

工具准备

1. Cobalt Strike (CS) - 用于生成初始Payload
2. bypassAV - 免杀工具 (项目地址: https://github.com/pureqh/bypassAV)
3. GoFileBinder - 文件捆绑工具 (项目地址: https://github.com/inspiringz/GoFileBinder)
4. pngZico - PNG转ICO工具
5. ico替换工具 - 用于修改EXE图标

详细步骤

1. 生成Python Payload

使用Cobalt Strike生成可上线的Python Payload：

• 在CS中生成Python格式的Payload
• 保存为payload.py文件

2. 使用bypassAV进行免杀处理

(1) 准备环境

# 升级pip
python.exe -m pip install --upgrade pip -i https://pypi.tuna.tsinghua.edu.cn/simple

# 安装numpy模块
pip install numpy -i https://pypi.tuna.tsinghua.edu.cn/simple

(2) 混淆Payload

• 将payload.py中的buf内容复制到go_shellcode_encode.py的shellcode变量中
• 运行混淆脚本：

python .\go_shellcode_encode.py

• 脚本会生成混淆后的base64 payload

(3) 配置Go程序

• 将生成的base64 payload填入main.go中的build("payload")处
• 将main.go中的URL替换为任意可访问的网页

(4) 编译程序

go build -trimpath -ldflags="-w -s -H=windowsgui" main.go

生成main.exe文件

3. 使用GoFileBinder捆绑PDF文件

(1) 编译GoFileBinder

go build GoFileBinder.go

(2) 捆绑文件

.\GoFileBinder.exe main.exe Al.pdf x64

注意：不要使用./前缀

生成捆绑后的AL.exe文件

4. 设置伪装图标

(1) 提取PDF图标

• 打开测试PDF文件(Al.pdf)
• 截图保存为1.png

(2) 转换图标格式

• 使用pngZico将1.png转换为1.ico

(3) 替换EXE图标

• 使用ico替换工具将AL.exe的图标替换为1.ico

5. 使用RLO隐藏后缀

(1) 创建欺骗性文件名

1. 打开记事本，输入"Al"
2. 右键选择"插入Unicode控制字符" → "RLO"模式
3. 输入"fdp.exe"（实际会显示为"exe.pdf"效果）

(2) 重命名文件

1. 全选并复制记事本中的字符串
2. 重命名AL.exe，粘贴复制的字符串

最终文件名会显示类似"Al exe.pdf"的效果

攻击效果

• 用户看到的是PDF文件图标和名称
• 双击后会正常打开PDF文件（提高可信度）
• 同时会在后台执行恶意代码，使主机上线到C2服务器

防御建议

1. 显示完整文件扩展名：在文件夹选项中取消"隐藏已知文件类型的扩展名"
2. 谨慎对待邮件附件：即使是看似可信的来源
3. 使用沙箱环境：可疑文件在隔离环境中打开
4. 保持安全软件更新：及时更新杀毒软件和系统补丁
5. 员工安全意识培训：识别常见的社会工程攻击手法

免责声明

本文仅用于安全研究和技术学习目的。未经授权对他人系统进行测试或攻击是违法行为，由此产生的任何后果由实施者自行承担。