用户
搜索
  • TA的每日心情
    奋斗
    昨天 02:10
  • 签到天数: 63 天

    连续签到: 1 天

    [LV.6]常住居民II

    版主

    Rank: 7Rank: 7Rank: 7

    88

    主题

    282

    帖子

    2574

    魔法币
    收听
    0
    粉丝
    6
    注册时间
    2018-8-22

    春秋达人积极活跃奖

    发表于 2021-5-20 02:26:43 39051
    本帖最后由 M0x1n 于 2021-6-3 15:50 编辑

    前言
        本文章仅探讨技术思路,不会教各位制作过程。想看制作过程的xdm直接划走!!    事情的起因是这样的......
        在某天下午,在某个群聊中。一个好久不见的朋友跟我说了这么一件事:他的电脑感染了蠕虫病毒。QAQ,这可如何是好呢?
        讲真的,我不做反病毒差不多2年了。一直感觉这些年病毒好像远离了我们,但是实际上呢?实际上只是我远离了病毒。

    构思
        经过了解,他告诉我说是在某多多上买了一个十几块钱的优盘,然后插上之后有个弹窗。紧接着杀毒就报毒了。

        另外,他的电脑杀软是360和电脑管家。(又来了一个小白鼠)电脑系统是Windows7,另一个优盘插上之后也被感染。
    立论
        系统:Win7 杀软:360、腾讯
        情景1:优盘Autorun.inf执行
        情景2:优盘+BadUSB执行
    412d3993bf9f0cffe967c56c8f7c2c5b.png

    驳论

        想一想,情景1和情景2,在以上两个杀软的情况下。360一般是会有警告的,而腾讯也是会有警告。但是为什么在两个杀软都可能报毒的情况下而没有报毒????

        我们由于没有拿到优盘数据,但是不影响我们分析:情景2这个情况是需要切换的,一个USB需要接受2个串口调配,这可能吗?emmmm,,确实有可能,虽然我没有试过,但是只不过是串口的问题。这个就交给大家来想象了。所以......   ↓

        实际上,情景1的可能性比较大,因为如果软件被一个安全的签名给签名打包后,安全软件基本上就信任他了。顶多是在其他方面做点数据,这个免杀的功能还是达到了。再加上系统瞎猫碰上死耗子,开启了一个自动运行。好了,你的电脑就要听天由命了。
    实践
        文章篇幅貌似有点短(这两天在写脚本,忘了给实践部分写上了),所以就在下面展示一下自己制作的记录(当然,仅供学习。)
        第一套设备:电脑一台、优盘一个。
        这套是最低级的一个了,原理是使用Windows的Autorun进行运行传播。

        制作过程:
            用Cs生成一个控制木马,并且做好免杀(由于团队有专人做免杀,我这里就不多演示了。这里的免杀方式是通过签名和保护壳免杀·「注意:签名免杀有效期非常短,但是通过优盘传播则又不会造成网马的泛滥。所以优盘传播使用这种免杀方式最好。」)

            编辑好Autorun.inf文件:
    [Bash shell] 纯文本查看 复制代码
    [AutoRun]
    Open=Setup.exe
    Icon=Setup.Bmp

            把exe和autorun.inf都放倒优盘根目录,拔掉优盘。
            找到一个Windows 7以上的计算机,插入。(需要开启自动安装)
        第二套设备:电脑一台、优盘一个(方便改装的)、Digispark开发板一枚。    Digispark买Attiny85的串口板。
        电路逻辑过程如下:
            通过USB5V的VIN和GND,向Digispark供电。接着从Digispark的脚本延时执行,并给5V VIN引脚和GND引脚供电(这里接到优盘的USB5V和GND)。优盘的中间两根(TXD、RXD)接到DigiSpark的TXD、RXD。(注意:此时必须已经写完Digispark的脚本。除了写入串口会影响优盘的可用性外,Digispark模拟键盘一般不会出问题「相当于一个没有芯片的USB拓展」)。
         最后再3d打印一个外壳,一个美滋滋的“优盘”就做好了。
         这一套设备DIY下来,也就比第一个多了十几块钱。
         Digispark只需要对转换过来的DuckScript进行一个翻译,并且打开5V的GPIO即可。


    好了,关灯睡觉。

    QQ截图20210601165157.png
    QQ截图20210601164759.png
    末心网络安全团队 | Q群374327762 | QQ1044631097
    发表于 2021-5-21 01:38:03
    代做吗?
    使用道具 举报 回复
    发表于 2021-6-1 16:53:07
    大佬!!
    使用道具 举报 回复
    66666666666666666666666666666
    使用道具 举报 回复
    发新帖
    您需要登录后才可以回帖 登录 | 立即注册