![](https://img-blog.csdnimg.cn/20201014180756738.png?x-oss-process=image/resize,m_fixed,h_64,w_64)
样本分析
文章平均质量分 54
J0o1ey
一线网络安全行业工作者,创业者,专注于渗透测试、红蓝对抗、代码审计、安全产品研究,欢迎大佬们多多交流~
展开
-
2021 HW红队样本分析(三) Nim ShellcodeLoader
0x01 样本概况 Name:主机邮件安全检查工具 ico使用的是360的图标 在Virustotal网站上,样本报毒1引擎,基本上绕过了全部国产杀毒,免杀效果较好 0x02 样本分析 对该样本进行反编译处理, 根据程序中各地址字符串信息可以推断 该样本使用了较为小众的语言nim作为shellcode loader 因为该样本使用的是nim语言,导致反编译出现有较大困难 获取到了部分远程加载地址 http://47.105.76.103:8023/log.txt http://47.105.76原创 2021-08-31 08:40:04 · 344 阅读 · 0 评论 -
2021 HW红队样本分析(二) C++ ShellcodeLoader
0x01 样本概况 Name:国家xx局安全升级文档.docs.exe ico为word的,很显然在利用已知扩展名隐藏的特性在钓鱼 在Virustotal网站上,样本报毒9引擎,基本上绕过了全部国产杀毒,免杀效果相对较好 其样本为C2远控样本,回链地址为39.107.95.197 其回连IP已经被标记为恶意C2 IP 行为特征如下 0x02 样本分析 对该样本进行反编译处理,该恶意样本执行流程如下创建互斥体 检查用户名 检查当前环境是否为虚拟机 检查系统语言 从http://39.107.原创 2021-08-31 08:38:31 · 211 阅读 · 0 评论 -
2021HW-某红队样本简单分析(附免杀shellcodeloader)
0x01 邮件原文与样本 hw期间内部邮箱网关收到了钓鱼邮件 邮件原文如下 解压后得到样本 财险内部旅游套餐方案.pdf.exe 样本为大小为5.88M,HASH如下 MD5 5bc32973b43593207626c0588fc6247e SHA-1 551414cb283a56cf55817c720c2efee0144ea2ed SHA-256 d12e852eeefa87e75c7876fb53947b979bfbf880eb825eb58b9fe7f0132809ad VT报毒 14/69,免杀原创 2021-05-27 19:49:50 · 654 阅读 · 1 评论