msiexec白程序攻击链路
前言:msiexec文件新攻击链路,从APT新海莲花中学习到的方法,这边进行记录
参考文章:https://wander1ng.com/post/msi恶意文件及相关apt组织手法/
参考文章:https://mp.weixin.qq.com/s/qi1krFG75sxQO6DSS3B3eQ
参考文章:https://mgeeky.tech/msi-shenanigans-part-1/
参考文章:https://www.cnblogs.com/zpchcbd/p/11943147.html
参考文章:https://ti.qianxin.com/blog/articles/new -trend-in-msi-file-abuse-new-oceanlotus-group-first-to-use-mst-files-to-deliver-special-trojan-cn/
参考文章:https://mp.weixin.qq.com/s/ALxrEtYH9HUOMfWPH9aZNw
参考文章:https://github.com/mgeeky/msidump
参考文章:https://www.firegiant.com/wixtoolset/
关于msi的介绍
如何打包msi程序
- 通过python msilib库(本质是通过调用com的WindowsInstaller.Installer包装器)
- 通过其他语言(通过 C#、C/C++、Powershell 等)支持调用专用COM WindowsInstaller.Installer对象也同样可以完成该操作
- 通过wix(wix toolset)专门工具集进行msi打包
关于wix toolset
wix工具集介绍
-
candle.exe 编译器,在输入时接受
.wxs项目XML,生成.wixobj对象文件 -
light.exe 链接器,接收输入的
.wixobj对象,生成输出.msi -
MakeSfxCA.exe,用于转换输入的.NET CLR线束。NET DLL转换为与运行DLL导出函数的
CustomAction兼容的输出本机DLL -
dark.exe,反编译器,可用于从文件柜和嵌入式二进制文件中提取二进制文件
-
torch.exe,可用于创建转换
.MST文件,这是两个略有不同的输入MSI数据库的差异快照
浙公网安备 33010602011771号