高级lnk快捷方式武器化

看下这篇文章，翻译过来是“UAC-0184的恶意软件活动使用XWORM RAT针对乌克兰，利用 Python 进行 DLL 侧加载。”。

一、方案介绍

执行lnk后删除自身，远程下载一个同名文档至当前目录，打开迷惑目标，检查appdata是否存在SecurityCheck目录，不存在则创建，远程下载pkg.zip至该目录，解压释放混淆的EXE加载器(可搭载白加黑)，删除zip，计划任务维持权限并自我删除，启动加载器。

二、发布内容

一套完整的项目由平台(C2)、加载器(Loader)、途径三部分构成：

• 平台指的是运行在服务器上的C2，决定了有效载荷是否能绕过特征检测机制（如静态特征，内存特征）并与服务器通信。
• 加载器指的是运行在终端上的程序（通常为白加黑或单可执行文件），加载器用于加载我们的C2有效载荷（payload）至内存。决定了是否能隐蔽运行有效载荷。
• 途径指的是通过某一种技术投递（如lnk快捷方式），通常是社会工程学。

本文发布的是途径部分，平台已在之前介绍，加载器稍后发出。

三、武器展示

视频区域

四、使用方法

使用evillnk脚本自动生成lnk快捷方式，实现上述效果。

五、免责声明

本文涉及方案仅限合法授权的安全研究、渗透测试用途，使用者须确保符合《网络安全法》及相关法规。具体条款如下：

• 仅可用于已获得书面授权的目标系统测试；
• 遵守法律法规，不得用于侵犯他人隐私或数据窃取；

本人不承担因用户滥用本软件导致的任何后果。使用即视为同意并接受上述条款。