随笔分类 - 2_病毒木马攻防对抗
摘要:投放方式是一个zip包,里面是一个快捷方式文件xxx.lnk。xxx.lnk里的内容是mshta运行网址转向的xx.hta文件。中途还要收集一波点开人员的机器信息。 hta里的加密形式遇见了好几次都是手工解的。效率很低,而且相关的样本很多。使用Python脚本进行解密是一个不错的选择。 两种混淆加密
阅读全文
摘要:几个月前 "enSilo的终端防护平台" 阻止过在Windows正常进程里运行Payload的恶意行为。 深入挖掘后发现攻击者利用DLL搜索顺序加载恶意DLL。 受控环境里的有些样本和FireEye最近发布的FIN7组织新工具和技术(特别是BOOSTWRITE)报告里的样本描述吻合。 与BOOSTW
阅读全文
摘要:调用ftp.exe执行系统命令,不是太新奇的技术,可以不必大惊小怪。 在看雪论坛看到使用FTP执行恶意代码的病毒样本。 ,使用 号是转义到shell。 伪装快捷方式执行命令 样本伪装的文档快捷方式调用ftp.exe进行执行命令。而调用的恶意代码是隐写到文档里的,开头用ftp执行了内置的 转到shel
阅读全文
摘要:简介 分析这种VBS简单chr()函数编码的脚本技巧。只需要把vbs的execute()函数换成信息输出到控制台(dos窗口)函数就可以了。 输入命令CScript tmp.vbs,执行后输出内容为: 示例: 把语句切换成显示: 输入命令CScript tmp.vbs,执行后输出内容: 参考来源 编
阅读全文
摘要:前置知识 思路 通过PEB获取kernel32.dll 基地址 在windows操作系统中每一个进程系统都维护着一个描述该进程的结构体,我们称之为peb(进程环境块),如可执行文件加载到内存的位置,模块列表(DLL),指示进程是否被调试的标志,不同发行版的windows系统该结构体可能存在着差异,在
阅读全文
摘要:PHP环境集成程序包phpStudy被公告疑似遭遇供应链攻击,程序包自带PHP的php_xmlrpc.dll模块隐藏有后门。经过分析除了有反向连接木马之外,还可以正向执行任意php代码。 影响版本 Phpstudy 2016 Phpstudy 2018 的php 5.2.17、php 5.4.45
阅读全文
摘要:内存中运行文件 拿exe并在HxD或010中打开 cntrl+a copy as C 粘贴到encrypt.cpp 编译并运行encrypt.cpp 创建shellcode.txt 从shellcode.txt复制char数组,并替换runPE.cpp中的rawData [] 编译生成最终的runP
阅读全文
摘要:安全公司博客 http://contagiodump.blogspot.com https://mmd.sougaoqing.com/mmd/index.htm http://researchcenter.paloaltonetworks.com https://www.fireeye.com/bl
阅读全文
摘要:https://isc.sans.edu/forums/diary/Another+quickie+Using+scdbg+to+analyze+shellcode/24058/ scdbg f shellcode.file 这样就可以分析shellcode了
阅读全文
摘要:定向鱼叉攻击邮件投放 垃圾邮件批量投放传播 网页挂马攻击 利用CVE 2019 7238(Nexus Repository Manager 3远程代码执行漏洞)进行传播 利用weblogic漏洞进行传播 RDP,VNC等途径进行爆破并入侵 利用U 盘、移动硬盘等移动介质进行传播 捆绑、隐藏在一些破解
阅读全文
摘要:场景 反向shell的场景下使用 原理 ICMP作为获取反向shell的通道 实践 运行 run.sh报错,可能是因为用的Parrot。改一下就可以了 或者直接运行主要命令。 攻击者机器运行: 目标机运行: 代码 VS2013编译通过 https://github.com/inquisb/icmps
阅读全文
摘要:原文:https://blog.netspi.com/10-evil-user-tricks-for-bypassing-anti-virus/ 介绍 译者注:很多不通顺的语句改掉了,还有反病毒解决方案统一翻译为了反病毒软件。无关紧要的话直接意思翻译 许多反病毒软件的部署配置方法较弱,为最终用户提供
阅读全文
摘要:0x1 技术点 PaloAlto Traps(EDR解决方案)基于行为封锁和标记许多黑客工具。 0x2 绕过方法 最简单的解决方案就是禁用内置实用程序,即; Cytool。Cytool是一个集成命令行界面(CLI),Cytool位于端点上的 文件夹中。 2.1 难点 禁用服务(Cyvrfsfd)会有
阅读全文
摘要:来源:https://blog.trendmicro.com/trendlabs security intelligence/from fileless techniques to using steganography examining powloads evolution/ 技术点 Powlo
阅读全文
摘要:项目地址 PFTriage:https://github.com/idiom/pftriage 参考 Pftriage:如何在恶意软件传播过程中对恶意文件进行分析 https://www.freebuf.com/sectool/196074.html
阅读全文
摘要:场景 按照一定时间规律运行Tcpdump 思路 编程思路细化思考 查看文件个数 file_count_results= du bs 2177623726 . CHECK=$(du bs /data/sflow_log | awk '{print
阅读全文
摘要:PE加载的过程 任何一个EXE程序会被分配4GB的内存空间,用户层处理低2G的内存,驱动处理高2G的内存。 1、双击EXE程序,操作系统开辟一个4GB的空间。 2、从ImageBase决定了加载后的基址,ImageSize决定了程序有多大。 3、然后加载DLL 大体流程: 1、PE被执行时,装载器为
阅读全文
摘要:Trickbot是一个简单的银行木马 来源 https://blog.trendmicro.com/trendlabs security intelligence/trickbot adds remote application credential grabbing capabilities to
阅读全文
摘要:来源 https://blog.trendmicro.com/trendlabs security intelligence/trickbot adds remote application credential grabbing capabilities to its repertoire/ 感染
阅读全文
