水坑攻击之flash钓鱼

一、水坑攻击 #

水坑攻击(英语:Watering hole)是一种计算机入 qin手法,其针对的目标多为特定的团体(组织、行业、地区等)。攻击者首先通过猜测(或观察)确定这组目标经常访问的网站并入qin其中一个或多个,植入恶意软件,最后,达到感染该组目标中部分成员的目的

二、实验步骤 #

流程大概就是首先制作捆绑木🐴,将e意程序与正常flash程序捆绑成一个程序,然后将其放在falsh页面的网站上,当攻击者访问页面并对flash下载并运行falsh后,则会进行上线。

自解压捆绑文件的利用 #

自解压捆绑文件就是捆绑木🐴,其实就是将多个程序“合并”成一个程序,但是其运行后还是多个文件在运行。 我们准备好免杀的exe马子和flash安装程序 ,以及winrar解压工具实现捆绑

1. 选中这两个程序,然后右键“添加到压缩文件”

2. 填写压缩文件名,即最终捆绑后生成的新的程序名。勾选 “创建自解压格式”

3. 点击高级—自解压选项

4. 在常规填写解压路径我这里是解压到C:\Windows\System32这个绝对路径。

5. 点击设置,填写马子的名字和flash名字

6. 点击模式,选择全部隐藏

7. 点击更新,如下

设置完毕,点击完成,此时将两个程序捆绑形成了一个新的程序

为了更高的迷惑性,我们还得把图标改了

修改exe图标 #

使用使用 ResourceHacker把图标改了

1. 使用ResourceHacker打开原版的flash安装程序,点击 "Icon Group" 文件夹中的文件,鼠标右键保存“*.ico资源”,即可导出ico图标

2. 同样的方法,打开刚刚打包好的文件,点击Icon Group文件夹中的文件,鼠标右键替换ico图标,最后保存

然后会生成新图标的exe

3. 此时双击打开新程序,其实系统真正运行的是捆绑之前的那两个程序,新程序不运行。beacon.exe上线

flash钓鱼页面 #

Flash钓鱼弹窗项目地址:GitHub - r00tSe7en/Flash-Pop: Flash钓鱼弹窗优化版

1. 将捆绑马放到网站根目录下

2. 打开flash.js,搜索“window.location.href”将其值设置为生成的捆绑木🐴的名称

此时点击这会进行下载

如果此时对falsh进行安装则会上线

总结 #

  • 拿下目标经常访问的网站,植入e意flash程序,达到攻击目标的这么一种行为
  • 需要对exe进行免杀才能过杀软