高级组合技打造捆绑后门及防御建议

是用上述方式制作chm文件，命名为一个比较有吸引力的名字，比如在公司技术群发了一个名字为”制作免杀后门.chm”的文件，实际测试结果如下图：

成功获取多个人的meterpreter会话。

七、防御

最好的防御就是提高个人安全意识，对于此类文件，多注意一下，尽量别乱点。如果非要点，可以放到虚拟机里面，使用procexp.exe可以看到存在后门的chm文件会开启新的进程：

对于碰到这种后门，怎么溯源呢，其实也很简单，chm是可以反编译为html的。

使用windows自带的hh.exe 则可进行反编译。命令如下：

C:Usersevi1cgDesktop>hh -decompile test poc.chm  

#test 为当前目录的test文件夹。

执行结果如下：

这样就可以看到其源代码并可以找到攻击者的监听服务器了。

至于其他防御姿势，知道的小伙伴可以分享一下。

八、小结

此次测试就是对一些已知的攻击手法进行结合，结果是让此捆绑后门更加隐蔽，近乎“完美”，美中不足的是在文件开启的时候会出现短暂的卡顿。有时候小漏洞结合起来能造成大危害，小手法结合起来也能成大杀器。本着分享的精神将此姿势介绍，希望小伙伴们能免受其害。

九、参考

• https://twitter.com/ithurricanept/status/534993743196090368
• https://github.com/samratashok/nishang/blob/master/Client/Out-CHM.ps1
• http://drops.wooyun.org/tips/11764

【编辑推荐】

1. 保护云计算免受恶意软件攻击需要了解的内容
2. DDos攻击解析
3. 微隔离可减少网络攻击面
4. 揭秘两个新发现的供应链攻击
5. T级攻击态势下解析DDOS高防IP系统架构

（编辑：晋中站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!