第107天:免杀对抗-C&C++&溯源ShellCode上线&混淆变异算法&回调编译执行
利用混淆加密算法
rc4可以过火绒,windows def
第108天:免杀对抗-Python&混淆算法&反序列化&打包生成器&Py2exe&Nuitka
Python混淆
AES+Base64
py打包器
打包器有,pyinstall,py2exe,nuitka,其中nuitka相对好用
nuitka 文件名
第109天:免杀对抗-PowerShell&混淆&分离加载&特征修改&EXE生成&填充替换
CS生成powershell的两种类型
PowerShell混淆
1、payload先base64加密,加密后数据添加垃圾数据(xiaodisec),然后将垃圾数据(xiaodisec)替换为空,再base64解码
2、payload先添加垃圾数据,然后进行base64加密,在解密,然后替换垃圾数据为空
以上两种思路均不行
文件分离(可过360)
将加密后的payload(base64加密)放到外网,powershell远程调用payload,再base64解密
第110天:免杀对抗-GO&C#&反VT沙盒&逆向调试&参数加载&资源分离&混淆加密
C#混淆(加壳)
开源版加壳(可过火绒、def)
商业版加壳(可过360、火绒、def)
Go混淆
CS生成.c后门文件,再用go语言加载
分离拆分(可过def) 3.go
(后门exe+密钥+payload)AES
5.go可过def、火绒
第111天:免杀对抗-Java&ASM&汇编CS调用&内联C&MSF源码特征修改&Jar打包
汇编asm(可过火绒)
第112天:免杀对抗-加载器分离&无文件落地&图片隐写&SOCK管道&参数协议化
Python-File-将shellcode从文本中提取(可过360、def、火绒)
shellcode放到txt文本,利用py的文件读取,实现上线
注意:py打包成exe文件,需要将exe和txt同时上传到测试环境
Python-Argv-以参数形式传递shellcode(可过360、def、火绒)
第113天:免杀对抗-内存加载&API封装&UUID标识&MAC地址&IPV4地址&各语言
UUID:python全过,go可过def
MAC:python过def、火绒,go可过def
第114天:免杀对抗-Nim语言&分离无文件socket&隐写&参数化&内存加载uuid等
跳过-------------------------------------------------------------
第115天:免杀对抗-特征码定位&添加花指令&加冷门壳&加反VT保护&资源修改
特征码定位
思路:利用VT定位工具记录特征点(a),然后利用OD工具分析,在00位置进行jmp跳转(b),跳转到特征点位置,修改程序特征点位置为(b)
添加花指令
思路:记录程序执行的开始位置(a),在00区域进行jmp跳转到原先开始位置(b),再利用jmp工具修改程序执行开始位置为b
第116天:免杀对抗-EDR&Syscall-hook&DLL反射注入&白加黑&隐写分离&加载器
第151天:红队APT-钓鱼篇&邮件钓鱼&SPF绕过&自建邮件系统&Swaks&Gophish
nslookup -type=txt 邮箱域名后缀
判断邮箱是否有spf验证(对IP进行校验,满足即可发送),如果无即可伪造
伪造手法
软刚,就是利用字眼,对官网域名进行修改,在.com后加上其他字符,例如.com.cn
硬刚,利用邮件转发
利用一些邮箱平台工具进行转发
邮件系统搭建
第152天:红队APT-钓鱼篇&邮件钓鱼&Ewomail系统&网页克隆&劫持用户&后门上线
国外服务器+域名搭建的网站 Ewomail 搭配swaks转发
钓鱼
第153天:红队APT-钓鱼篇&Office宏对象&LNK快捷方式&CHM电子书&上线免杀方案
office漏洞
利用过程:利用CS生成宏代码,cp到office中,保存修改文件后缀为docm(宏文件后缀),当用户打开访问docm/doc文件,CS完成上线,缺陷是系统存在安全过滤,有提示
宏文件后缀
Excel,文件模版,ppt于docx同理
LNK快捷方式
利用过程:调用windows系统自带的mshta.exe执行CS生成的hta后缀文件(后门文件),然后利用CS对hta文件网站托管(就是相当于在CS服务器上生成一个端口,访问后下载托管文件),修改快捷方式的调用路径
第154天:红队APT-钓鱼篇&Office-CVE漏洞&RLO隐藏&压缩包释放&免杀打包捆绑
RLO隐藏
office-CVE漏洞
CVE-2022-30190(office本身漏洞) 被杀
可能存在漏洞:命令执行成功,弹出计算器
漏洞利用:在本地或服务器上上传后门文件1.exe,如果是在本地,利用命令
python -m http.server 8080 会在本地创建一个8080端口的可访问的web目录,然后修改py脚本后执行(下载web目录下的后门文件到本地并执行,成功上线)
CVE-2021-40444(系统漏洞影响到office产品)被杀
漏洞利用
第155天:红队APT-反朔源&流量加密&CS&MSF&证书指纹&C2项目&CDN域前置
流量加密
数据被加密
msf流量特征,利用openssl修改证书
或者利用msf专有模块生成证书,进行替换
CS-keytool是java库的exe文件,可用于校验/生成证书
第156天:红队APT-反朔源隐藏&C2项目&CDN域前置&云函数&数据中转&DNS转发
域前置(Out)
iptables
原理iptables是linux的防火墙,中转技术
第157天:安全开发-Python自动化挖掘项目&SRC目标&FOFA资产&Web爬虫解析库