2021 HW红队样本分析(三) Nim ShellcodeLoader

已于 2023-02-15 13:31:13 修改
阅读量344 收藏 1
点赞数 1
分类专栏: 网络安全 样本分析 文章标签: git 网络安全 反病毒
于 2021-08-31 08:40:04 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_26091745/article/details/120009448
版权

0x01 样本概况

Name:主机邮件安全检查工具

ico使用的是360的图标

image-20210818174313797

在Virustotal网站上,样本报毒1引擎,基本上绕过了全部国产杀毒,免杀效果较好

img

img

img

0x02 样本分析

对该样本进行反编译处理,

根据程序中各地址字符串信息可以推断

该样本使用了较为小众的语言nim作为shellcode loader

img

因为该样本使用的是nim语言,导致反编译出现有较大困难

img

获取到了部分远程加载地址

http://47.105.76.103:8023/log.txt
http://47.105.76.103:8081/cm
http://47.105.76.103:8081/lbJD

根据字符串信息+动态调试结果推断该恶意样本执行流程如下
img

下载http://47.105.76.103:8023/log.txt数据解密后注入到cleanmgr.exe进程中

然后VitualAlloc放入内存加载

img

img

根据Yara规则识别为Cobbaltstrike HTTPS x64载荷

0x03 样本loader来源

经过一番Github搜索,发现该GIT项目生成的C2样本与本样本在执行方法和逻辑上高度一致

https://github.com/aeverj/NimShellCodeLoader

推测红队使用了本项目进行C2程序生成

image-20210818175700013

0x04 样本下载链接

发布于奇安信攻防社区的样本分析文章中的样本均已打包在如下链接

链接:https://pan.baidu.com/s/1uqsba-YPlBAIv5wuR_vXWQ
提取码:m78s

J0o1ey
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
NimShellCodeLoader:使用nim编写的shellcode加载器
02-03
NimShellCodeLoader Nim编写Windows平台shellcode免杀加载器 快速生成免杀毒性文件 更新: 20210123:增加三种加载shellcode方式,其中两种使用了库,需要安装该库才能正常编译 特点: 1:自带通常加载方式 2:可自行拓展加载方式 3:支持两种加密技术,分别位3des加密和凯撒密码,密钥随机,每次生成文件拥有不同的哈希 完全针对技术研究和获得正式授权的测试活动。 ##文件组成: bin中存放生成的重组文件 encryption存储加密代码文件 module中存放c ++功能文件 安装: 1,安装nim最新版 2,下载本项目,分别编译encryption中的Tdea.nim和Caesar.nimnim c -d:release --opt:size Tdea.nim nim c -d:release --opt:size Caesar.nim 3,编译c#项目,将初始化文件放到当前目录 使用方法: 1,打开生成器 2,将有效载荷到该窗口 3,选择加载方式,点击生成,还原文件会保存到bin文件夹中 拓展: 1,新建ni
Nim_CBT_Shellcode:用于将Shellcode执行的CallBack技术移植到Nim
03-25
Nim_CBT_Shellcode 一些用于Shellcode执行的回调技术移植到了Nim。 代码模板来自和 ,功劳归功于和 。
NimShellCodeLoader免杀
mingyqf的博客
02-03 1066
渗透测试之地基流量加密篇:Nim语言免杀所有杀软 会员 原创 奖励 dayu_ 2021-01-27 11:36:42 323154 9 系列文章 专辑:渗透测试之地基篇 简介 渗透测试-地基篇 该篇章目的是重新牢固地基,加强每日训练操作的笔记,在记录地基笔记中会有很多跳跃性思维的操作和方式方法,望大家能共同加油学到东西。 请注意: 本文仅用于技术讨论与研究,对于所有笔记中复现的这些终端或者服务器,都是自行搭建的环境进行渗透的。我将使用Kali Linux作为此次学习的攻击者机器。这里使用的技术仅用于
探秘BypassAv-web:一款基于Nim的智能免杀工具
gitblog_00040的博客
05-31 382
探秘BypassAv-web:一款基于Nim的智能免杀工具 项目地址:https://gitcode.com/M-Kings/BypassAv-web 在网络安全研究的深水区,探索与反制始终是双翼齐飞的主题。今天,我们将聚焦于一款名为BypassAv-web的开源项目,它不仅代表了技术边界的一次飞跃,更是一个面向安全研究人员的技术研讨宝箱。让我们一同揭开它的神秘面纱,探讨其技术内核,以及如何在实战...
2021HW-某样本简单分析(附免杀shellcodeloader)
J0o1ey Blog
05-27 656
0x01 邮件原文与样本 hw期间内部邮箱网关收到了钓鱼邮件 邮件原文如下 解压后得到样本 财险内部旅游套餐方案.pdf.exe 样本为大小为5.88M,HASH如下 MD5 5bc32973b43593207626c0588fc6247e SHA-1 551414cb283a56cf55817c720c2efee0144ea2ed SHA-256 d12e852eeefa87e75c7876fb53947b979bfbf880eb825eb58b9fe7f0132809ad VT报毒 14/69,免杀
shellcodeloader
xuqi7
06-26 351
调试执行 shellcode
2021 HW样本分析(二) C++ ShellcodeLoader
J0o1ey Blog
08-31 212
0x01 样本概况 Name:国家xx局安全升级文档.docs.exe ico为word的,很显然在利用已知扩展名隐藏的特性在钓鱼 在Virustotal网站上,样本报毒9引擎,基本上绕过了全部国产杀毒,免杀效果相对较好 其样本为C2远控样本,回链地址为39.107.95.197 其回连IP已经被标记为恶意C2 IP 行为特征如下 0x02 样本分析 对该样本进行反编译处理,该恶意样本执行流程如下创建互斥体 检查用户名 检查当前环境是否为虚拟机 检查系统语言 从http://39.107.
2021HW行动作战手册.pdf
07-01
2021HW行动作战手册
2021HW行动作战手册.rar
09-07
《2021HW行动作战手册》是针对网络安全领域中的行动提供的一份详细指南。行动通常是指模拟黑客攻击行为,以测试和提升组织的安全防护能力。这份手册涵盖了行动的各个方面,包括前期规划、情报收集、...
HW弹药库之作战手册.zip
08-19
0x01 入口权限获取[前期侦察,搜集阶段本身就不存在太多可防御的点,非防御重心] 0x02 入口权限获取[ 外部防御重心 ( "重中之重" ) ] 0x03 入口权限获取[专门针对各类基础服务端口的各种getshell利用,防御重点 ( ...
loader:这只是一个在Nim中运行x86-64机器代码的小实验,本质上这是一个很小的JIT loader
02-02
loader:这只是一个在Nim中运行x86-64机器代码的小实验,本质上这是一个很小的JIT loader
最短shellcode提取方法和测试【原创】
12-13
这是一个windows弹出对话框的shellcode,38个字节 在windows xp sp3下测试 已在vc++6,mingw,cygwin下编译测试
[视频]K8飞刀 shellcode loader演示教程-附件资源
03-02
[视频]K8飞刀 shellcode loader演示教程-附件资源
OffensiveNim:我为Nim武器化的实验(https
03-11
进攻尼姆 我的实验是将武器化以进行植入物开发和一般进攻行动。 目录 为什么选择尼姆? 直接编译为C,C ++,Objective-C和Javascript。 由于它不依赖虚拟机,因此运行时不会像其他语言(例如Golang)那样产生我喜欢的“ THICC恶意软件” 受Python启发的语法,允许快速进行本机有效负载创建和原型制作。 具有极其成熟的 (外部功能接口)功能。 避免使您实际上用C / C ++编写,并且随后避免在软件中引入很多安全问题。 从* nix / MacOS到Windows的超级容易的交叉编译,只需要您安装mingw工具链并将单个标志传递给nim编译器。 Nim编译器和生成的可执行文件支持所有主要平台,例如Windows,Linux,BSD和macOS。 甚至可以编译为Nintendo switch,IOS和Android。 请参阅《 中的“交叉编译”部分 从
nimception:使用Nim语法的Nim模板语言,可以在编译时完全评估
02-04
nimception:使用Nim语法的Nim模板语言,可以在编译时完全评估
免杀对抗-Nim语言免杀-加载工具+加载方式
xiaoheizi的博客
09-28 710
shellcodeCallback.nim下载:https://github.com/5598ca98-f0c8-4594-befe-330b23c2b7c4。nimcrypto,在有nimcrypto.nimble文件的文件夹(一般在根目录)启动命令行,执行:nimble install。1.下载nimPNG,在有nimPNG.nimble文件的文件夹(一般在根目录)启动命令行,执行:nimble install。4.再次执行:./lsp.exe de 生成的图片.png shellcode文件 密码。
探秘NimShellCodeLoader:一款创新的代码加载工具
gitblog_00020的博客
04-16 325
探秘NimShellCodeLoader:一款创新的代码加载工具 项目地址:https://gitcode.com/aeverj/NimShellCodeLoader 在编程世界里,效率和灵活性是开发者们永恒追求的目标。今天我们要介绍的NimShellCodeLoader就是这样一款为提升开发效率而生的工具,它由Nim语言编写,旨在简化命令行环境下的代码执行流程。 项目简介 NimShellCod...
免杀制作-教你如何一键制作window-CS上线免杀马(新手推荐)
weixin_42109829的博客
10-20 7125
一、免杀思路 应该说每一类型的恶意软件所实施的反检测技术都是不一样的(恶意软件可以分为病毒、木马、僵尸程序、流氓软件、勒索软件、广告程序等),虽然本文会对所有相关的反检测技术都进行介绍,但我们还是会将注意力放在stager阶段的meterpreter这种有效载荷的工具上,因为几乎所有的恶意软件的攻击命令的执行都必须依靠 meterpreter来实施攻击,例如: 提权、凭证窃取、进程迁移、注册表操作和分配更多的后续攻击, 另外,MetasploitFramework是一个缓冲区溢出测试使用的辅助工具,也可以说
hw常用工具集合
最新发布
06-03
HW的常用工具集合主要包括以下几个方面: 1.渗透测试工具:如Nmap、Metasploit、Burp Suite等,用于发现漏洞并获取系统权限。 2.后门工具:如Hacker Defender、Meterpreter等,可以在攻击成功后,使攻击者能够随时访问目标系统。 3.密码破解工具:如John the Ripper、Hashcat等,用于破解加密的密码。 4.网络扫描工具:如Zmap、Masscan等,用于快速扫描互联网上的端口和服务。 5.无线攻击工具:如Aircrack-ng、Wifite等,可以对Wi-Fi网络进行攻击和破解。 6.社交工程工具:如SET、BeEF等,用于伪装成合法用户获取目标系统的信息或者提供网络钓鱼攻击。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

J0o1ey

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值