看下这篇文章,翻译过来是“UAC-0184的恶意软件活动使用XWORM RAT针对乌克兰,利用 Python 进行 DLL 侧加载。”
。
执行lnk后删除自身,远程下载一个同名文档至当前目录,打开迷惑目标,检查appdata是否存在SecurityCheck目录,不存在则创建,远程下载pkg.zip至该目录,解压释放混淆的EXE加载器(可搭载白加黑),删除zip,计划任务维持权限并自我删除,启动加载器。
编号 | 方案 | 类型 | 内容 | 状态 |
---|---|---|---|---|
1 | 高级lnk快捷方式 | 途径(手段) | lnk2.0武器化 | 发布 |
一套完整的项目由平台(C2)、加载器(Loader)、途径
三部分构成:
本文发布的是途径部分
,平台已在之前介绍,加载器稍后发出。
视频区域
使用evillnk脚本自动生成lnk快捷方式,实现上述效果。
本文涉及方案仅限合法授权的安全研究、渗透测试用途,使用者须确保符合《网络安全法》及相关法规。具体条款如下:
本人不承担因用户滥用本软件导致的任何后果。使用即视为同意并接受上述条款。
原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。
如有侵权,请联系 cloudcommunity@tencent.com 删除。
原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。
如有侵权,请联系 cloudcommunity@tencent.com 删除。