2021 HW红队样本分析(二) C++ ShellcodeLoader

已于 2023-02-15 13:30:39 修改
阅读量206 收藏 1
点赞数
分类专栏: 网络安全 样本分析 文章标签: c++ python 深度学习 网络安全 反病毒
于 2021-08-31 08:38:31 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_26091745/article/details/120009414
版权

0x01 样本概况

Name:国家xx局安全升级文档.docs.exe

ico为word的,很显然在利用已知扩展名隐藏的特性在钓鱼

在Virustotal网站上,样本报毒9引擎,基本上绕过了全部国产杀毒,免杀效果相对较好

img

img

其样本为C2远控样本,回链地址为39.107.95.197

img

其回连IP已经被标记为恶意C2 IP

img

行为特征如下

img

0x02 样本分析

对该样本进行反编译处理,该恶意样本执行流程如下创建互斥体
img
检查用户名
img

检查当前环境是否为虚拟机

img

检查系统语言

img

从http://39.107.95.197:8888/update64.bin下载文件并复制到内存

img

img

virtualAlloc开辟内存后

将刚刚下载的bin文件的shellcode加载到开辟的内存中并且执行

img

winhex查看bin文件

其shellcode为标准的cs https beacon载荷,回连地址如图

img

0x03样本下载链接

发布于qax攻防社区的样本分析文章中的样本均已打包在如下链接

链接:https://pan.baidu.com/s/1uqsba-YPlBAIv5wuR_vXWQ
提取码:m78s

J0o1ey
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
HW方案
qq_22078549的博客
06-12 1840
防护检测组 梳理现有网络安全监测、防护措施,查找不足; 该修复修复,该上设备上设备。 根据综合研判组安全自查发现的安全漏洞和风险进行整改加固及策略调优,完善安全防护措施; 加固:盖好防御工事 调优:缩紧安全策略 利用(全流量安全监测系统、防火墙、WAF、IDS、漏洞扫描系统、主机入侵检测系统、网站防护系统、安全策略分析系统)监测技术手段对网络攻击行为进行监测、分析、预警和处置上报(封禁IP地址、恶意特征行为阻断、上报综合研判组以及应急处置组等); • 木马后门回连 • webshell上传 • 漏洞利用事件
shellcode弹出对话框
Linux方程式
11-11 3064
功能是弹出一个对话框。本段代码在VC6.0上编译通过,此shellcode能在所有windows系统上运行且屡试不爽。  char shellcode[]= "\xfc\x68\x6a\x0a\x38\x1e\x68\x63\x89\xd1\x4f\x68\x32\x74\x91\x0c" "\x8b\xf4\x8d\x7e\xf4\x33\xdb\xb7\x04\x2b\xe3\x66\x
c++shellcode加载器
qq_44657899的博客
05-26 3444
文章目录VirtualAlloc申请内存堆 VirtualAlloc申请内存 #include <windows.h> #include <iostream> #include <time.h> #pragma comment (lib, "winmm.lib") #pragma comment(linker,"/subsystem:\"Windows\" /entry:\"mainCRTStartup\"") void startShellCode() { unsi
推荐开源项目:ShellcodeLoader - 高级安全工具,让您的shellcode隐形飞行
gitblog_00065的博客
05-21 255
推荐开源项目:ShellcodeLoader - 高级安全工具,让您的shellcode隐形飞行 项目地址:https://gitcode.com/Hzllaga/ShellcodeLoader 项目介绍 ShellcodeLoader是一款创新性的开源项目,它采用先进的加密技术和反沙箱策略,使得shellcode(一种在操作系统内存中执行的机器码)能在复杂的环境中隐秘运行。通过RSA加密shel...
shellcodeloader
xuqi7
06-26 349
调试执行 shellcode
2021HW-某红队样本简单分析(附免杀shellcodeloader)
J0o1ey Blog
05-27 649
0x01 邮件原文与样本 hw期间内部邮箱网关收到了钓鱼邮件 邮件原文如下 解压后得到样本 财险内部旅游套餐方案.pdf.exe 样本为大小为5.88M,HASH如下 MD5 5bc32973b43593207626c0588fc6247e SHA-1 551414cb283a56cf55817c720c2efee0144ea2ed SHA-256 d12e852eeefa87e75c7876fb53947b979bfbf880eb825eb58b9fe7f0132809ad VT报毒 14/69,免杀
HW面试常见知识点2——研判分析(蓝队中级版)
最新发布
练习时长两年半的CTF爱好者
06-03 2241
护网一般分为红蓝两队,做红蓝对抗。红队为攻击队,红队的构成主要有“国家队”(国家的网安等专门从事网络安全的技术人员)、厂商的渗透技术人员。其中“国家队”的占比大概是60%左右,厂商的技术人员组成的攻击小队占比在40%左右。一般来说一个小队大概是3个人,分别负责信息收集、渗透、打扫战场的工作。蓝队为防守队,一般是随机抽取一些单位参与。另外设有裁判组 负责整个演习过程中的评判、评分工作。网络安全人才,是建设网络强国的最重要资源。网络安全的本质在对抗,对抗的本质在攻防两端能力的较量。
2021HW行动红队作战手册.pdf
07-01
2021HW行动红队作战手册
2021HW行动红队作战手册.rar
09-07
2021HW行动红队作战手册》是针对网络安全领域中的红队行动提供的一份详细指南。红队行动通常是指模拟黑客攻击行为,以测试和提升组织的安全防护能力。这份手册涵盖了红队行动的各个方面,包括前期规划、情报收集、...
HW弹药库之红队作战手册.zip
08-19
0x01 入口权限获取[前期侦察,搜集阶段本身就不存在太多可防御的点,非防御重心] 0x02 入口权限获取[ 外部防御重心 ( "重中之重" ) ] 0x03 入口权限获取[专门针对各类基础服务端口的各种getshell利用,防御重点 ( ...
rs_shellcode:另一个shellcode运行器
05-23
rs-shellcode 在Rust中编写的shellcode运行器使用 。 如何使用它 安装 ,使用每晚toochain。 rustup default nightly 使用msfvenom生成shellcode进行测试。 msfvenom -p windows/x64/exec CMD=calc.exe --platform win -f raw -o calc64.raw 建造: cargo build 用法: rs_shellcode USAGE: rs_shellcode.exe [FLAGS] [OPTIONS] -f <file> FLAGS: -b set breakpoint in debugger -h, --help Prints help information -V, --
rust-windows-shellcode:Rust中的Windows Shellcode开发
03-05
用Rust编写Windows Shellcode 项目概况 Windows shellcode项目位于shellcode/ ,它可以构建为仅包含.text节的PE文件,并且没有外部依赖项。 然后,我们可以转储.text节并进行一些修补以使其与位置无关。 这个想法来自的项目 。 如何建造 (仅在Win10 x64上测试过) 构建shellcode进制文件 rustup default nightly-x86_64-pc-windows-msvc cd shellcode/ cargo build --release 如果一切顺利,我们将获得shellcode\target\x86_64-pc-windows-msvc\release\shellcode.exe 转储.text部分并做一些补丁 我们在.text部分的开头打补丁,使其跳转到入口点。 这样,我们可以在合并部分中存储一些字符串
goby2021红队专版,1.8.255
03-29
《goby2021红队专版:1.8.255——网络安全与渗透测试的利器》 在网络安全领域,红队扮演着至关重要的角色。他们通过模拟黑客攻击来检测并提升组织的安全防御能力。goby2021红队专版,版本号1.8.255,是一款专门为...
2021 HW红队样本分析(三) Nim ShellcodeLoader
J0o1ey Blog
08-31 341
0x01 样本概况 Name:主机邮件安全检查工具 ico使用的是360的图标 在Virustotal网站上,样本报毒1引擎,基本上绕过了全部国产杀毒,免杀效果较好 0x02 样本分析 对该样本进行反编译处理, 根据程序中各地址字符串信息可以推断 该样本使用了较为小众的语言nim作为shellcode loader 因为该样本使用的是nim语言,导致反编译出现有较大困难 获取到了部分远程加载地址 http://47.105.76.103:8023/log.txt http://47.105.76
HW
weixin_45358803的博客
08-21 908
一、HW前 1、了解自身有什么 了解自有资产列表 确认有哪些安全产品、可以监控哪些业务 了解对外服务情况(网站、端口) 了解对外服务风险点 了解网络拓扑、业务拓扑 了解业务流走向 注意点:避免有遗漏资产对外服务 2、了解自身没有什么 确认己方缺少的点,无论是人员技能还是安全产品 确认哪些业务未接入安全产品监控范围 多次确认安全薄弱点,进行重点监控 3、知产品 云防护 云waf CDN 串联类设备 WAF 邮件网关 IPS 抗D 防病毒 负载均衡,前置代理 旁路
2022护网日记,护网工作内容、护网事件、告警流量分析_护网研判分析
qd520_1314的博客
04-17 654
最近遍览了各种网络安全类的文章,内容参差不齐,其中不伐有大佬倾力教学,也有各种不良机构浑水摸鱼,在收到几条私信,发现大家对一套完整的系统的网络安全从学习路线到学习资料,甚至是工具有着不小的需求。青藤云的蜜罐检查到,有个用户电脑访问了蜜罐的80端口,用户断网以后用360和火绒查杀了三个毒以后,重新上线,结果又踩了蜜罐,用户又用360和火绒扫了一遍,啥也没扫出来,就喊我过去处理。不幸的是,这话被项目经理偷听到了,在经理的谴责声中,我看到,开发的眼神,竟慢慢的黯淡下来,直到剩下两个黑黑的眼眶。
渗透测试方法论1
jklove9的博客
10-13 448
渗透测试的种类:黑盒测试,白盒测试 黑盒测试: 渗透测试人员应该能够理解安全弱点,将之分类并按照风险等级(高,中,低)对其排序,风险级别取决于相关弱点可能形成危害的大小,能够确定可引发安全事故的所有攻击模式。 白盒测试: 可以获取被测单位的各种内部资料,甚至是不公开资料。白盒测试从被测系统环境自身出发,全面消除内部安全问题,从而增加了从单位外部渗透系统的难度。 脆弱性评估和渗透测试最大的区别: 渗透测试不仅要识别目标的弱点,它还设计在目标系统上进行漏洞利用,权限提升和访问防护,也就是脆弱性评估虽
HW 钓鱼简单样本分析以及制作
zkaqlaoniao的博客
03-26 426
显示出来后,看到 rundll32.exe 驱动的就是这个 dll(这个pdf后缀的文件就是将dll文件改成pdf后缀然后用rundll32来进行运行),显然这就是那个可恶的马仔了,立即拿出我的 ida pro 丢进去分析一手。然后打开属性查看快捷方式,看到他运行了一个 rundll32.exe 的文件,应该很多人已经知道这是为了调恶意的 dll,但一看就一个 rundll32.exe 后面全被空格隐藏了后面的命令执行。记录某个对某个钓鱼事件中获取的钓鱼样本进行分析,以及简单的制作学习。
hw红队常用工具集合
06-03
HW红队的常用工具集合主要包括以下几个方面: 1.渗透测试工具:如Nmap、Metasploit、Burp Suite等,用于发现漏洞并获取系统权限。 2.后门工具:如Hacker Defender、Meterpreter等,可以在攻击成功后,使攻击者能够...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

J0o1ey

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值