ZoomPersistence:缩放持久性攻击者和处理程序 源码

通过Symlink滥用进行缩放持久化 背景: 默认情况下,Zoom安装在用户的“ AppData”目录下(C:\ Users {USER} \ AppData \ Roaming \ Zoom),该用户可以写入该目录。 如果位于Zoom“ bin”目录中的Zoom可执行文件被另一个替换。 所有的符号链接(快捷方式)将指向新的exe。 功能性 该脚本使用运算符提供的参数生成C ++暂存器(编译当前由mingw处理,并生成32位exe)。 然后,脚本将文件系统上的zoom可执行文件重命名为用户定义的名称,并将stager上载到文件名为“ zoom.exe”的zoom目录中。 然后,此登台程序将使用其修改后的名称运行Zoom Executable,然后从指定地址拉出登台并执行它。 重要的 修改构建器和编译器变量以指向正确的编译器可执行文件名称 用法示例: beacon> zoomer 12