记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

揭开病毒的面纱——恶意代码自解密技术

分析病毒的时候,常常遇到一种很奇怪的现象,使用查壳工具查看一个样本明明没有加壳,但是反编译或调试时,却不能直观地看到样本的恶意操作,这是为什么呢?很简单,这是因为攻击者采用了自定义的加密方法,在样本运行时实现自解密并执行真正的恶意操作,所以看到的只是样本还没解密的样子,自然分析不出恶意代码的逻辑。下面就通过实例来窥探下恶意代码自解密的技术吧,如下是一个Ammyy病毒的下载器(MD5:28EAE907EA38B050CBDCC82BB623C00A),使用DIE查壳发现,该样本并没有加任何的壳。然而当查找字符串时,却未能发现一些可疑的字符串(如下载器常有的恶意url),看到的只是一堆乱码,看来,该样本很有可能就是使用了自
发布时间:2019-05-21 12:25 | 阅读:4098 | 评论:0 | 标签:技术 恶意代码

域渗透——普通用户权限获得DNS记录

0x00 前言在之前的文章《域渗透——DNS记录的获取》介绍了域渗透中获得DNS管理员权限后获取DNS记录的方法,而更普遍的情况是只有域普通用户的权限,也需要获得DNS记录。本文将会参考公开的资料,整理域普通用户获得DNS记录的方法,修复dns-dump.ps1在高版本Windows系统下的bug。0x01 简介本文将要介绍以下内容:· 实现原理· 开源的工具和方法0x02 实现原理1.SharpAdidnsdump的实现原理先通过LDAP查询获得域内计算机的名称,再通过DNS查询获得对应的IP。详细实现细节可参考:https://github.com/b4rtik/SharpAdidnsdump测试环境:&
发布时间:2019-05-20 12:25 | 阅读:8798 | 评论:0 | 标签:技术 DNS

绕过杀软:通过网络接收ShellCode的无文件攻击方式与检测方法

一、概述反病毒方案通常用于检测恶意软件,并且通常要依靠静态分析来区分文件的好坏。如果文件自身就包含恶意内容,那么这种方法会有效。但如果攻击者使用轻量级的Stager来代替下载,并将代码加载到内存中,那么会发生什么呢?事实证明,这是绕过反病毒软件的一种好方法。尽管这种方法并不新鲜,但绕过反病毒软件对于大多数现代恶意软件来说都很常见,我们希望提供一些有关如何构建此类Payload时应该采取步骤的思路,并说明防御者如何使用常见的EDR工具来大规模检测此类活动。在本文中,我们将使用VirusTotal作为检测的标准,并使用Metasploit反向TCP ShellCode作为Payload。这提供了一种粗略的方法,可以衡量出P
发布时间:2019-05-19 12:25 | 阅读:14062 | 评论:0 | 标签:技术 shellcode

借助ProcessHollowing和代码注入感染合法进程:信息窃取恶意软件FormBook分析

概述FormBook是一个信息窃取类型的恶意软件。与大多数其他信息窃取类恶意软件一样,它在部署到受害者的计算机上时,会执行许多操作来逃避反病毒厂商产品的检测。当然,正如我们在Ursnif、Hancitor、Dridex和其他木马中看到的那样,有许多变种可以通过多种方式接收Payload。在过去的一年中,威胁行为者最常用的分发FormBook恶意软件的方法是借助恶意钓鱼邮件并利用CVE-2017-8570漏洞。具体而言,攻击者会使用包含恶意代码的.RTF格式文件来利用这一漏洞。在本文中,我将重点关注恶意Payload,并详细分析该恶意软件的行为和IoC。FormBook使用的反分析技术首先,我们先从FormBook如何阻
发布时间:2019-05-16 12:25 | 阅读:13425 | 评论:0 | 标签:技术 FormBook 注入

《Lateral Movement — SCM and DLL Hijacking Primer》的利用扩展

0x00 前言《Lateral Movement — SCM and DLL Hijacking Primer》介绍了三个dll(wlbsctrl.dll、TSMSISrv.dll和TSVIPSrv.dll)可以通过SCM(Service Control Manager)实现远程执行。本文将要扩展这三个dll的用法,分别介绍提权和后门利用的方法。0x01 简介本文将要介绍以下内容:· 利用wlbsctrl.dll实现的提权· 利用TSMSISrv.dll和TSVIPSrv.dll实现的后门· 利用MF.dll实现的后门0x03 wlbsctrl.dll的利用1、原文中的用法IKEEXT(IKE an
发布时间:2019-05-15 12:25 | 阅读:11058 | 评论:0 | 标签:技术

实例讲解未知游戏文件格式的逆向分析方法(上)

前言当人们对未知文件格式进行逆向分析时,通常倾向于使用现成的提取器,但是,有时对于所讨论的格式并没有公共信息可用(例如,当开发公司使用自己特殊的格式来保护文件时),并且,文件格式可能存在巨大的差异,这时,我们就不得不自己动手进行逆向分析了。而本教程的目的,就是向读者展示逆向分析未知格式文件的基本步骤。先决条件为了顺利完成本文的任务,需要读者了解下列语言:· C++语言· x86汇编语言(Intel语法)对于本文涉及内容,我会尽力给出通俗的解释,但是,读者最好对上述语言有所了解。所需工具本文中将用到以下工具:· HexEdit(或其他十六进制编辑器)· OllyDBG(需要用到Stealth
发布时间:2019-05-05 12:25 | 阅读:15860 | 评论:0 | 标签:技术 逆向分析

红蓝对抗基础设施架构设计Wiki(下)

(接上文)有效载荷和Web重定向在提供有效载荷和Web资源时,我们希望最小化事件响应者查看文件的能力,并增加成功执行有效载荷的机会,无论是建立C2还是收集情报。Jeff Dimmock写的关于 Apache Mod_Rewrite的用法和示例:· 使用 Apache mod_rewrite 模块加强你的网络钓鱼方法· 使用Apache mod_rewrite模块设置无效的 URI 重定向· 使用 Apache mod_rewrite模块创建基于操作系统的重定向· 使用 Apache mod_rewrite 模块对抗安全事件响应人员· 使用 Apache RewriteM
发布时间:2019-05-03 12:25 | 阅读:27939 | 评论:0 | 标签:内网渗透 技术 红蓝对抗

模糊测试基础指南(上)

介绍
这篇博文介绍了关于模糊测试的基础知识,以及几种模糊测试工具,并由以下三个部分阐述一些最新的关于fuzzing技术的资讯。第一部分主要介绍高级模糊测试技术。简要地讨论了使用模糊测试的情景,并进一步解释了开启模糊测试场景以及经典的模糊测试工具的架构。第二部分主要描述模糊测试入门的过程,并介绍几种通俗易懂,易于理解和使用的模糊测试工具。虽然,通常情况下直接使用现有的fuzzer更为简便,但是由用户自己编写的fuzzer或调整现有的fuzzer可能会产生更好的效果。本文提供的不是一个足够全面完整的列表,而是一系列不同模糊测试技术的示例。第三部分主要阐述了最近发表的关于模糊测试技术的研究。它将重点关注新型模糊测试技术和经过
发布时间:2019-04-30 12:25 | 阅读:35211 | 评论:0 | 标签:技术 模糊测试

高级域渗透技术之传递哈希已死-LocalAccountTokenFilterPolicy万岁

高级域渗透技术之传递哈希已死-LocalAccountTokenFilterPolicy万岁来源:https://posts.specterops.io/pass-the-hash-is-dead-long-live-localaccounttokenfilterpolicy-506c25a7c167大约三年前,我写了一篇名为"传递哈希已死: 长久的哈希传递方法介绍"的文章,详细阐述了微软 KB2871997补丁的一些操作含义。 在安全建议中有一句特别的话,"这个功能的改变包括: 防止网络登录和使用本地帐户远程交互登录到加入域的机器… …"使我相信(在过去
发布时间:2019-04-30 12:25 | 阅读:33435 | 评论:0 | 标签:内网渗透 技术 系统安全 LocalAccountTokenFilterPolicy

如何绕过AMSI for VBA

在本文中,我们将为读者详细介绍用于审查VBA恶意代码的AMSI安全机制在设计方面存在的缺陷,以及攻击者是如何利用这些缺陷来绕过该防御机制的。请注意,本文中的示例代码只应作为概念验证,而不得用于其他用途。关于AMSI在Windows 10中,微软引入了反恶意软件扫描接口(Antimalware scanning interface,AMSI),用于充当脚本解释器和反病毒引擎之间的交互接口。现在, AMSI不仅支持PowerShell引擎、Windows脚本宿主(wscript.exe和cscript.exe),并且,最近又提供了针对Visual Basic for Applications(VBA)的支持。简而言之,在这
发布时间:2019-04-29 12:25 | 阅读:27315 | 评论:0 | 标签:技术 AMSI for VBA

红蓝对抗基础设施架构设计Wiki(上)

此Wiki的目的是为渗透测试人员提供用于设置弹性Red Team基础架构的资源。这是为了补充Steve Borosh(@424f424f)和Jeff Dimmock(@bluscreenofjeff) BSides NoVa 2017演讲“Doomsday Preppers:强化你的红队基础设施”的议题 (点此下载PPT)。如果你有想要添加的内容,请提交Pull Request或在repo上提交问题。感谢本维基中引用内容的所有作者以及所有人!目录设计注意事项功能隔离使用重定向器样例设计更多资源域名域名分类和黑名单检查资源网络钓鱼轻松的发起基于Web的网络钓鱼Cobalt Strike 网络钓鱼网络钓鱼框架重定向器SMT
发布时间:2019-04-29 12:25 | 阅读:27798 | 评论:0 | 标签:内网渗透 技术 红蓝对抗

生产环境中的合规检查

0x00、前言在各级政务单位大力建设政务云、城市云的背景下,等保合规成为了购买安全产品的刚性需求。对应最新出台的等保v2.0,无论是从网络层面、主机层面都做了详细的规定。那么如何建设一套切实可行并且满足国家规定的相关规范的合规类产品,也成了安全人员需要考虑的问题。0x01、解决方案从安全解决方案方面可从以下三个方面入手:1、针对于公有云环境,我们需要对云上产品做基线检查。2、针对网络层面,需要对主机和web应用做基线扫描。3、针对主机层面,我们要对主机上的操作系统、中间件和数据做基线检查。0x02、云上产品层面合规检查针对公有云环境,我们需要从两个层面去检查,第一层面检查公有云底层架构,通过测试用例保证网络部分带宽满足
发布时间:2019-04-28 12:25 | 阅读:22745 | 评论:0 | 标签:技术 等保

域渗透之在活动目录中搜寻: 不受限制的委派和林信任

在这篇文章中,我将针对威尔的文章中解释的攻击变量提供初步的侦查指导,主要关注一些通常由强制机器帐户认证方法生成的安全事件。 我还会提供一些具体的指标,说明 Rubeus 监控 TGTs 所产生的 Windows 安全事件,以及 Lee Christensen 开发的唯一公开的概念验证代码 SpoolSample ("printer bug")的执行情况。 SpoolSample 用于强制授权到一个无约束的服务器。 还有数百台 RPC 服务器尚未进行分析,比如 SpoolSample 代码中使用的 打印机服务器。 因此,我们不能假设攻击者总是使用 RPC 打印机服务器来执行这种攻击。 此外,重要的是要
发布时间:2019-04-26 12:25 | 阅读:36108 | 评论:0 | 标签:内网渗透 技术 系统安全 域渗透

使用Sboxr自动发现和利用DOM(客户端)XSS漏洞

这一系列的博客文章将向你展示如何在单页或富JavaScript的应用程序上识别DOM XSS的问题。作为示例,我们将在DOM XSS playground(https://domgo.at)上解决10个练习题目,并为检测到的问题创建了简单的概念证明漏洞。这篇文章的内容涵盖了前两个练习的设置说明和解决方案。剩余的练习将在我们发布的其他文章中提到。我们还将发布一个gitbook,其中包含了Appsecco书籍门户网站上所有练习的解决方案。更新:gitbook会挂在我们的图书门户网站上—— https://appsecco.com/books/automating-discovery-and-exploiting-dom-c
发布时间:2019-04-24 12:25 | 阅读:35572 | 评论:0 | 标签:技术 XSS漏洞 xss 漏洞

对APT34泄露工具的分析——HighShell和HyperShell

0x00 前言最近APT34的6款工具被泄露,本文作为分析文章的第二篇(第一篇文章回顾),仅在技术角度对其中的HighShell和HyperShell进行分析。参考资料:https://malware-research.org/apt34-hacking-tools-leak/amp/0x01 简介本文将要介绍以下内容:· 对HighShell的分析· 对HyperShell的分析· 小结0x02 对HighShell的分析对应泄露文件的名称为Webshells_and_Panel中的HighShell。其中的文件为HighShell.aspx,是针对Windows服务器的webshell。默认访问
发布时间:2019-04-24 12:25 | 阅读:30588 | 评论:0 | 标签:技术 APT34泄露工具

对APT34泄露工具的分析——PoisonFrog和Glimpse

0x00 前言最近APT34的6款工具被泄露,本文仅在技术角度对其中的PoisonFrog和Glimpse进行分析。参考资料:https://malware-research.org/apt34-hacking-tools-leak/amp/0x01 简介本文将要介绍以下内容:· 对PoisonFrog的分析· 对Glimpse的分析· 小结0x02 对PoisonFrog的分析对应泄露文件的名称为posion frog。包括两部分文件:· agent,包含文件poisonfrog.ps1,是通过powershell实现的木马程序· server side,对应木马控制端,使用N
发布时间:2019-04-23 12:25 | 阅读:28872 | 评论:0 | 标签:技术 APT34泄露工具

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云