XRulez 使用教程

1. 项目介绍

XRulez 是一个命令行工具，用于在受感染的 Windows 主机上为 Outlook 创建恶意规则。Outlook 规则可以被用来在 Windows 主机上实现持久化，通过创建一个规则，当目标收到一个主题中包含特定关键词的邮件时，执行恶意负载。攻击者可以通过简单地发送邮件来随时在目标上投放shell。

XRulez 由 MWR InfoSecurity 维护，并且是开源软件。它通过命令行实现之前只能通过 Outlook 图形界面完成的技术。

2. 项目快速启动

准备工作

在开始之前，确保满足以下条件：

• 目标机器已经被攻陷。
• 目标有一个与 Exchange 服务器的认证会话。
• 目标可以访问一个文件共享，你可以向其中写入。
• 你可以发送邮件到目标的 Exchange 账户。

步骤

1. 将 XRulez.exe 上传到目标机器。
2. 运行以下命令，列出系统上安装的 MAPI 配置文件：

   XRulez.exe -l
   

3. 使用以下命令添加新规则，包括必要的参数：

   XRulez.exe -a [--profile PROFILE] [--name NAME] [--trigger TRIGGER] [--payload PAYLOAD]
   

4. 发送一封包含之前设置的关键词的邮件到目标的 Exchange 账户。
5. 等待 shell。

添加规则时，XRulez 需要四个必需参数：

• 配置文件名：Outlook MAPI 配置文件，可以使用 -l 参数找到安装的配置文件。
• 规则名称：规则描述，例如“垃圾邮件过滤器”。
• 规则触发器：将在所有 incoming 消息的主题字段中搜索的关键词。
• 负载路径：当条件满足时将执行的应用程序的路径。

XRulez 会扫描 %APPDATA%\Microsoft\Outlook\ 目录下的 .xml 文件，这些文件代表 Outlook 配置文件。它还提供了最后修改时间和基于修改时间的配置文件选择建议。但是，只有当 Outlook 关闭时，.xml 文件才会更新。如果用户刚刚切换账户，这可能会导致混淆。大多数用户只有一个默认配置文件，名为“Outlook”。

规则创建后，可以从目标系统中移除 XRulez，它就不再需要了。

负载应用程序可以是任何正常由 ShellExec 打开的应用程序，包括 .exe、.bat、.vbs。它不包括 .ps1 文件，因为默认情况下它们会在默认文本编辑器中打开。

由于 MAPI 是体系结构依赖的，因此对于 32 位 / 64 位系统将需要不同的版本。确保在使用 XRulez.exe 之前使用正确的版本。如果使用错误，用户将看到一个弹出框，显示“MAPI 无法找到 Outlook 客户端”。

3. 应用案例和最佳实践

• 持久性攻击：通过创建一个规则，当目标收到包含特定关键词的邮件时，自动执行一个 payload，从而在目标机器上实现持久化访问。
• 隐蔽通信：利用 Outlook 的邮件系统进行隐蔽通信，通过邮件发送命令或接收数据。

4. 典型生态项目

目前没有列出与 XRulez 直接相关的生态项目。但是，任何涉及 Windows 系统安全和 Outlook 邮件处理的工具和项目都可以视为 XRulez 的潜在生态项目。例如，涉及邮件监控、分析或安全的项目可能与 XRulez 有互补作用。