PowerShell-RAT：一款基於Python的後門程序

今天給大家介紹的是一款名叫Powershell-RAT的Python後門，它可以利用Gmail郵件附件來從目標用戶的設備中提取數據。這款RAT可以幫助紅隊測試人員給任何一台Windows設備安裝後門，它不僅可以使用屏幕捕捉功能來跟蹤用戶的活動，而且還可以通過電子郵件附件來將提取出的數據發送給攻擊者。

Powershell-RAT

下載地址：【GitHub傳送門】

註：本工具目前還不會被任何反病毒軟體檢測到，PowerShell-RAT的開發意圖是為了進行安全教育並給研究人員提供實驗工具，請不要將其用於惡意目的，否則後果自負。

依賴組件

如果我的Windows設備沒裝Python的話，我該怎麼辦？

1. 使用 PyInstaller將項目庫中的PowershellRAT.py編譯成可執行文件；

2. PyInstaller在PyPI上就有，你可以直接使用pip來完成安裝：

工具配置

1. 輸入一個Gmail郵箱地址；

2. 訪問https://myaccount.google.com/lesssecureapps，並啟用「Allow less secure apps」；

3. 在Mail.ps1這個PowerShell文件中修改賬號的$username和$password變數值；

4. 根據郵箱地址修改$msg.From和$msg.To.Add；

如何使用

選項1：通過設置執行策略來不受限制地使用Set-ExecutionPolicyUnrestricted，這個選項在管理員設備上比較有用。

選項2：該選項將使用Shoot.ps1腳本在目標設備上進行屏幕截圖。

選項3：該選項將使用schtasks在目標設備上安裝後門，並將任務名設置為MicrosoftAntiVirusCriticalUpdatesCore。

選項4：該選項將使用Powershell從目標設備上發送電子郵件，並使用Mail.ps1腳本將提取到的數據+屏幕截圖以郵件附件的形式進行發送。

選項5：該選項將使用schtasks在目標設備上安裝後門，並將任務名設置為MicrosoftAntiVirusCriticalUpdatesUA。

選項6：該選項將從目標設備上刪除截圖文件（增強隱蔽性）。

選項7：該選項將使用schtasks在目標設備上安裝後門，並將任務名設置為MicrosoftAntiVirusCriticalUpdatesDF。

選項8：該選項將自動執行上述所有操作，攻擊者每5分鐘便會收到一封帶有屏幕截圖的郵件，截圖文件將在12分鐘後自動刪除。

選項9：退出程序（或按 Control+C）。

工具界面

首次運行Powershell-RAT時你將會看到如下圖所示的選項界面：

使用Hail Mary選項可以幫助你在目標Windows設備中安裝後門：

配置完成之後，你就可以查看到用戶的活動截圖了：

接下來，工具還將使用Gmail並以郵件附件的形式將提取出的數據發送給攻擊者：

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！