摘要: 利用Gmail郵件附件來從目標用戶的設備中提取數據
注:本工具目前還不會被任何反病毒軟件檢測到,PowerShell-RAT的開發意圖是為了進行安全教育並給研究人員提供實驗工具,請不要將其用於惡意目的,否則後果自負。
今天給大家介紹一款名叫poweshell-RAT的python後門,它可以利用Gmail郵件附件來從目標用戶的設備中提取數據。
依賴組件
如果我的Windows設備沒裝Python的話,我該怎麼辦?
1. 使用 PyInstaller將項目庫中的PowershellRAT.py編譯成可執行文件;
2. PyInstaller在PyPI上就有,你可以直接使用pip來完成安裝:
pip install pyinstaller
工具配置
1. 輸入一個Gmail郵箱地址;
2. 訪問https://myaccount.google.com/lesssecureapps,並啟用"Allow less secure apps";
3. 在Mail.ps1這個PowerShell文件中修改賬號的$username和$password變量值;
4. 根據郵箱地址修改$msg.From和$msg.To.Add;
如何使用
選項1:通過設置執行策略來不受限制地使用Set-ExecutionPolicyUnrestricted,這個選項在管理員設備上比較有用。
選項2:該選項將使用Shoot.ps1腳本在目標設備上進行屏幕截圖。
選項3:該選項將使用schtasks在目標設備上安裝後門,並將任務名設置為MicrosoftAntiVirusCriticalUpdatesCore。
選項4:該選項將使用Powershell從目標設備上發送電子郵件,並使用Mail.ps1腳本將提取到的數據+屏幕截圖以郵件附件的形式進行發送。
選項5:該選項將使用schtasks在目標設備上安裝後門,並將任務名設置為MicrosoftAntiVirusCriticalUpdatesUA。
選項6:該選項將從目標設備上刪除截圖文件(增強隱蔽性)。
選項7:該選項將使用schtasks在目標設備上安裝後門,並將任務名設置為MicrosoftAntiVirusCriticalUpdatesDF。
選項8:該選項將自動執行上述所有操作,攻擊者每5分鐘便會收到一封帶有屏幕截圖的郵件,截圖文件將在12分鐘後自動刪除。
選項9:退出程序(或按 Control+C)。
工具界面
首次運行Powershell-RAT時你將會看到如下圖所示的選項界面:
使用Hail Mary選項可以幫助你在目標Windows設備中安裝後門:
配置完成之後,你就可以查看到用戶的活動截圖了:
接下來,工具還將使用Gmail並以郵件附件的形式將提取出的數據發送給攻擊者:
安界貫徹人才培養理念,結合專業研發團隊,打造課程內容體系,推進實訓平臺發展,通過一站式成長計劃、推薦就業以及陪護指導的師帶徒服務,為學員的繼續學習和職業發展保駕護航,真正實現和完善網絡安全精英的教練場平臺;即使低學歷也可實現職業發展中的第一個“彎道超車”!安界就是你唯一選擇,趕緊私信我!等你來!
閱讀更多 網絡攻防和我學 的文章
關鍵字: 黑客 殺毒軟件 PowerShell
