实验背景
当我们在安装了Windows Defender的计算机上运行开箱即用的meterpreter payload时,马上就会被拦截。
本文将为读者展示如何通过TCP套接字投递shellcode来绕过最新的Windows Defender(撰写本文时是5月7日)执行现成的meterpreter payload的。
原文地址:https://0xinfection.github.io/reversing/
在本系列文章中,我们将为读者从头开始介绍x86架构下的逆向工程技术。
第一课:课程目标
众所周知,逆向工程是现代恶意软件分析的基础,而恶意软件分析又是理解和考察响应网络入侵所需信息的基础。
这份简短的教程将从恶意软件逆向工程的基本概念开始,然后逐步介绍汇编语言的入门级基本知识。
可以说,王国的钥匙植根于对各个可疑恶意软件二进制文件的分析,以及如何在网络中找到它并最终对其进行遏制。
背景概述
近日,深信服安全团队捕获到一起利用MSSQL暴力破解投放勒索病毒的攻击事件,攻击者通过MSSQL的xp_cmdshell执行系统命令,从C&C服务器下载并执行勒索病毒。执行的相关命令如下:
经安全专家分析,攻击者所使用的程序均通过.NET进行Gzip压缩封装,最终将C++编写的PE解压后注入到CasPol.exe进程(.NET的码访问安全性策略工具)执行,经分析为Remcos远控和GlobeImposter勒索病毒。
0x0概述
近年来,老式勒索病毒依旧活跃,而新型勒索病毒花样百出,深信服安全云脑就捕获到一款具有“地方特色”的勒索病毒,其加密后缀为.beijing。
该病毒会加密指定后缀文件,在系统盘加密用户目录下的文件,并生成勒索提示文档(!RECOVER.txt),要求用户通过邮箱联系黑客,使用比特币支付赎金来解密个人文件。
大家对于信息安全或网络安全比较熟悉的词应该就是“黑客”了吧,事实上从事网络安全的人在技能上确实让你说一句“我擦,这也可以”。信息安全领域的内容比较杂,很多大学是信息安全专业的同学发现毕业时好像什么也没学到,又有一些非信息安全专业却此次很有兴趣想要自学的,该如何走好第一步,或者要经过几步才能真正入坑?
学习·理论
首先肯定要学一些技术方法论了,这个阶段就是入门,C、C++、汇编都是基础中的基础,还有例如软件逆向以及软件调试等初级知识需要掌握,有了这些打底之后,才能深入操作系统内核去了解些操作系统的真正原理。
0x01 前言C / C++主要使用 malloc,calloc,zalloc,realloc和专门版本kmalloc来进行内存分配。例如,malloc具有void *malloc(size_t size) 签名,可以从堆中申请任何数量的字节,该函数会返回一个指针。然后使用释放内存函数free()。即使在2019年,这些函数仍然是黑客进行漏洞利用的入口点。例如,最近在WhatsApp中出现的UAF漏洞,我将在后续文章中讨论。我的朋友Alexei提供了一个非常酷的基于Ghidra的脚本来发现常见的malloc漏洞。
发布时间:
2019-10-31 13:10 |
阅读:61476 | 评论:0 |
标签:
技术 C 漏洞
在渗透测试领域,攻击工具集的选择继续向着以使用C#作为漏洞后期利用的攻击语言的方向发展,我觉得尤其是与使用PowerShell相比,去考虑一些使用C#作为攻击语言有关的操作挑战是非常有用的。
发布时间:
2018-12-21 12:21 |
阅读:135114 | 评论:0 |
标签:
内网渗透 安全工具 C