小迪安全-免杀对抗+红队APT

第107天：免杀对抗-C&C++&溯源ShellCode上线&混淆变异算法&回调编译执行

利用混淆加密算法

rc4可以过火绒，windows def

第108天：免杀对抗-Python&混淆算法&反序列化&打包生成器&Py2exe&Nuitka

Python混淆 

AES+Base64 

py打包器 

打包器有，pyinstall，py2exe，nuitka，其中nuitka相对好用 

nuitka 文件名 

第109天：免杀对抗-PowerShell&混淆&分离加载&特征修改&EXE生成&填充替换

CS生成powershell的两种类型

PowerShell混淆

1、payload先base64加密，加密后数据添加垃圾数据(xiaodisec)，然后将垃圾数据(xiaodisec)替换为空，再base64解码

2、payload先添加垃圾数据，然后进行base64加密，在解密，然后替换垃圾数据为空

以上两种思路均不行

文件分离（可过360）

将加密后的payload(base64加密)放到外网，powershell远程调用payload，再base64解密

第110天：免杀对抗-GO&C#&反VT沙盒&逆向调试&参数加载&资源分离&混淆加密

C#混淆（加壳）

开源版加壳（可过火绒、def） 

商业版加壳（可过360、火绒、def）

Go混淆

CS生成.c后门文件，再用go语言加载 

分离拆分（可过def）        3.go

（后门exe+密钥+payload）AES 

5.go可过def、火绒

第111天：免杀对抗-Java&ASM&汇编CS调用&内联C&MSF源码特征修改&Jar打包

汇编asm（可过火绒）

第112天：免杀对抗-加载器分离&无文件落地&图片隐写&SOCK管道&参数协议化

Python-File-将shellcode从文本中提取（可过360、def、火绒）

shellcode放到txt文本，利用py的文件读取，实现上线

注意：py打包成exe文件，需要将exe和txt同时上传到测试环境 

Python-Argv-以参数形式传递shellcode（可过360、def、火绒）

第113天：免杀对抗-内存加载&API封装&UUID标识&MAC地址&IPV4地址&各语言

UUID：python全过，go可过def

MAC：python过def、火绒，go可过def

第114天：免杀对抗-Nim语言&分离无文件socket&隐写&参数化&内存加载uuid等

跳过-------------------------------------------------------------

第115天：免杀对抗-特征码定位&添加花指令&加冷门壳&加反VT保护&资源修改

特征码定位

思路：利用VT定位工具记录特征点（a），然后利用OD工具分析，在00位置进行jmp跳转（b），跳转到特征点位置，修改程序特征点位置为（b）

添加花指令

思路：记录程序执行的开始位置（a），在00区域进行jmp跳转到原先开始位置（b），再利用jmp工具修改程序执行开始位置为b

第116天：免杀对抗-EDR&Syscall-hook&DLL反射注入&白加黑&隐写分离&加载器

第151天：红队APT-钓鱼篇&邮件钓鱼&SPF绕过&自建邮件系统&Swaks&Gophish

nslookup -type=txt 邮箱域名后缀

判断邮箱是否有spf验证（对IP进行校验，满足即可发送），如果无即可伪造

 

伪造手法

软刚，就是利用字眼，对官网域名进行修改，在.com后加上其他字符，例如.com.cn 

硬刚，利用邮件转发

利用一些邮箱平台工具进行转发 

邮件系统搭建 

第152天：红队APT-钓鱼篇&邮件钓鱼&Ewomail系统&网页克隆&劫持用户&后门上线 

国外服务器+域名搭建的网站 Ewomail 搭配swaks转发

钓鱼

第153天：红队APT-钓鱼篇&Office宏对象&LNK快捷方式&CHM电子书&上线免杀方案 

office漏洞 

利用过程：利用CS生成宏代码，cp到office中，保存修改文件后缀为docm（宏文件后缀），当用户打开访问docm/doc文件，CS完成上线，缺陷是系统存在安全过滤，有提示

宏文件后缀 

Excel，文件模版，ppt于docx同理

LNK快捷方式 

利用过程：调用windows系统自带的mshta.exe执行CS生成的hta后缀文件（后门文件），然后利用CS对hta文件网站托管（就是相当于在CS服务器上生成一个端口，访问后下载托管文件），修改快捷方式的调用路径

第154天：红队APT-钓鱼篇&Office-CVE漏洞&RLO隐藏&压缩包释放&免杀打包捆绑

RLO隐藏  

office-CVE漏洞

CVE-2022-30190（office本身漏洞） 被杀

 可能存在漏洞：命令执行成功，弹出计算器 

漏洞利用：在本地或服务器上上传后门文件1.exe，如果是在本地，利用命令

python -m http.server 8080        会在本地创建一个8080端口的可访问的web目录，然后修改py脚本后执行（下载web目录下的后门文件到本地并执行，成功上线）

CVE-2021-40444（系统漏洞影响到office产品）被杀

 漏洞利用

第155天：红队APT-反朔源&流量加密&CS&MSF&证书指纹&C2项目&CDN域前置 

流量加密

数据被加密 

msf流量特征，利用openssl修改证书 

或者利用msf专有模块生成证书，进行替换 

CS-keytool是java库的exe文件，可用于校验/生成证书 

 

第156天：红队APT-反朔源隐藏&C2项目&CDN域前置&云函数&数据中转&DNS转发 

域前置（Out）

iptables

原理iptables是linux的防火墙，中转技术 

第157天：安全开发-Python自动化挖掘项目&SRC目标&FOFA资产&Web爬虫解析库