PowerShell-RAT:一款基於Python的後門程序
今天給大家介紹的是一款名叫Powershell-RAT的Python後門,它可以利用Gmail郵件附件來從目標用戶的設備中提取數據。這款RAT可以幫助紅隊測試人員給任何一台Windows設備安裝後門,它不僅可以使用屏幕捕捉功能來跟蹤用戶的活動,而且還可以通過電子郵件附件來將提取出的數據發送給攻擊者。
Powershell-RAT
下載地址:【GitHub傳送門】
註:本工具目前還不會被任何反病毒軟體檢測到,PowerShell-RAT的開發意圖是為了進行安全教育並給研究人員提供實驗工具,請不要將其用於惡意目的,否則後果自負。
依賴組件
如果我的Windows設備沒裝Python的話,我該怎麼辦?
1. 使用 PyInstaller將項目庫中的PowershellRAT.py編譯成可執行文件;
2. PyInstaller在PyPI上就有,你可以直接使用pip來完成安裝:
工具配置
1. 輸入一個Gmail郵箱地址;
2. 訪問https://myaccount.google.com/lesssecureapps,並啟用「Allow less secure apps」;
3. 在Mail.ps1這個PowerShell文件中修改賬號的$username和$password變數值;
4. 根據郵箱地址修改$msg.From和$msg.To.Add;
如何使用
選項1:通過設置執行策略來不受限制地使用Set-ExecutionPolicyUnrestricted,這個選項在管理員設備上比較有用。
選項2:該選項將使用Shoot.ps1腳本在目標設備上進行屏幕截圖。
選項3:該選項將使用schtasks在目標設備上安裝後門,並將任務名設置為MicrosoftAntiVirusCriticalUpdatesCore。
選項4:該選項將使用Powershell從目標設備上發送電子郵件,並使用Mail.ps1腳本將提取到的數據+屏幕截圖以郵件附件的形式進行發送。
選項5:該選項將使用schtasks在目標設備上安裝後門,並將任務名設置為MicrosoftAntiVirusCriticalUpdatesUA。
選項6:該選項將從目標設備上刪除截圖文件(增強隱蔽性)。
選項7:該選項將使用schtasks在目標設備上安裝後門,並將任務名設置為MicrosoftAntiVirusCriticalUpdatesDF。
選項8:該選項將自動執行上述所有操作,攻擊者每5分鐘便會收到一封帶有屏幕截圖的郵件,截圖文件將在12分鐘後自動刪除。
選項9:退出程序(或按 Control+C)。
工具界面
首次運行Powershell-RAT時你將會看到如下圖所示的選項界面:
使用Hail Mary選項可以幫助你在目標Windows設備中安裝後門:
配置完成之後,你就可以查看到用戶的活動截圖了:
接下來,工具還將使用Gmail並以郵件附件的形式將提取出的數據發送給攻擊者:
※Python 機器學習 Scikit-learn 完全入門指南
※Python指南:Python的8個關鍵要素
TAG:Python |