摔不死的笨鸟的博客

LockBit3.0字符串解密

LOLBins

3cx被黑客供应链攻击

免杀

Quasar和AsyncRAT

Medusa Stealer恶意软件

哈希计算

conti勒索软件

unicorn模拟执行二进制函数

DGA算法

恶意软件新动态

注册表路径SAM - Encrypted Local Account Pwd hashes‘\REGISTRY\MACHINE\SAM’‘\REGISTRY\MACHINE\SAM\SAM\Domains*’SYSTEM - Bootkey/Syskey GBG, JD, Skew1‘\REGISTRY\MACHINE\SYSTEM\ControlSet00?\Control\Lsa\JD’‘\REGISTRY\MACHINE\SYSTEM\ControlSet00?\Control\Ls

APT37攻击朝鲜记者Fantasy会注入被XOR加密的payload，在数据结构中定义加密的XOR密钥，payload大小，加密的数据内容。最终stage-GOLD-BACKDOOR和2021年8月Volexity披露的bluelight几乎吻合。D:\Development\GOLD-BACKDOOR\Release\FirstBackdoor.pdbE:\Development\BACKDOOR\ncov\Release\bluelight.pdbGNU字符串工具可以看到嵌入在word中的l

开启最大路径限制，避免加密具有长路径名的文件时出现BUGC:\WINDOWS\system32\cmd.exe /c reg add HKLM\SYSTEM\CurrentControlSet\Control\FileSystem /v LongPathsEnabled /t REG_DWORD /d 1 /f禁用受控文件夹访问功能Set-MpPreference -EnableControlledFolderAccess Disabledpowershell删除卷影副本Get-WmiObje

BlackGuard加密货币钱包窃取规避以下dll的加载SbieDll.dll 沙盒沙盒SxIn.dll 360全方位安全Sf2.dll Avast 杀毒软件snxhk.dll Avast 杀毒软件cmdvrt32.dll COMODO 网络安全使用Obfuscar进行.NET程序混淆BlackGuard 还将查询“IP-Whois”以确定受害者的大致位置。在 BlackGuard 的一些样本中，此功能用于防止恶意软件在特定的东欧国家执行。通过Chrome插件ID找到加密钱包的插件路径，然

LockBitLOCKBIT检查进程控制块 (PEB)中的NtGlobalFlag字段，以检测是否正在调试恶意软件进程使用FNV1A对每个名称（小写）进行哈希处理并与硬编码哈希进行比较，然后返回相应的 DLL 库LockBit尝试通过修改自己的访问控制列表来限制对自己进程的访问限制进程访问调用GetSecurityInfo来检索进程的安全描述符 ACL调用RtlAllocateAndInitializeSid为EVERYONE 组分配和初始化具有SECURITY_WORLD_SID_AUTHOR

BlackCat勒索链接：https://blog.talosintelligence.com/2022/03/from-blackmatter-to-blackcat-analyzing.html在设置反向 ssh 计划任务工具之前，攻击者禁用了任务计划程序的日志c:\windows\system32\wevtutil.exe set-log microsoft-windows-taskscheduler/operational /enabled:falseC++实现了写入 C:\目录的alter

许多窃密木马都具有偷取cookie的功能，cookie中包含了session的信息，如果session仍在有效期内，那么攻击者可以利用session id等信息直接与服务器建立联系。session的原理https://blog.csdn.net/xianyadong/article/details/81283696Chrome浏览器的Cookies的本地存储位置在%AppData%Google\Chrome\User Data\Default。cookie文件几乎一直处在修改状态，本质是sqlite3

服务器虽然Linux系统使用的比较多，但Linux服务器相比于Windows服务器可以检查的点比较少，Windows服务器相对来说排查难度比较高。服务器一般很少会主动从网络上下载资源，安装的软件多为ToDesk、AnyDesk、TiemView等远程桌面管理工具，功能比较单一。服务器承载着非常重要的核心业务，多数安全工具不能随便使用，尤其是不太出名的小工具（如：executedprogramslist），以及会安装驱动的安全工具（如火绒剑、PChunter、其他厂商的EDR产品等），因为一旦发生不兼容问

样本分析2021年11月3日，捕获到一封名为“收货协议”的doc（Hash:63acfd6633bf3fe6462d8de72904338e2a97392654d8b39a97d18b9e7f3b25b8），该邮件虽然已被30家引擎报毒，关联URLs中却只有github链接，并无明显恶意域名。文档打开后，俄文的译语即是“要查看文档内容，必须点击启用宏！！”。文档中只有一句宏代码，其功能是从github平台ssbb36用户下载5.mp3文件。表面上来看，该落地文件并没有明显恶意行为。下载了ssb

HTML Application Attack生成的是一个hta文件。运行后启动powershell，执行一大坨base64编码的代码。第一段解密之后的powershell形如：s=New−ObjectIO.MemoryStream(,[Convert]::FromBase64String("一坨base64"));IEX(New−ObjectIO.StreamReader(New−ObjectIO.Compression.GzipStream(s=New-Object IO.MemoryStre

CookieCookie，有时也用其复数形式 Cookies。类型为“小型文本文件”，是某些网站为了辨别用户身份，进行Session跟踪而储存在用户本地终端上的数据（通常经过加密），由用户客户端计算机暂时或永久保存的信息。一个 Web 站点可能会为每一个访问者产生一个唯一的ID, 然后以 Cookie 文件的形式保存在每个用户的机器上。如果使用浏览器访问 Web, 会看到所有保存在硬盘上的 Cookie。在这个文件夹里每一个文件都是一个由“名/值”对组成的文本文件,另外还有一个文件保存有所有对应的 We

JavaScript 显示数据JavaScript 可以通过不同的方式来输出数据：使用 window.alert() 弹出警告框。使用 document.write() 方法将内容写到 HTML 文档中。使用 innerHTML 写入到 HTML 元素。使用 console.log() 写入到浏览器的控制台。JS在线调试http://js.jsrun.net/newJS本地调试谷歌浏览器火狐浏览器 开发者模式快捷键 F12按钮从左往右，功能依次是Resume【F8】继续执行，直到下个断

无论是个人家庭需要还是企业安全运维防护，掌握了解一定的计算机病毒知识是非常重要的。现在都有比较不错的病毒分析专业论坛，但是对于计算机病毒普通用户很难建立一个全面的认识，并能提高安全意识，做好主动的防范。这里就是简单聊一聊什么是计算机病毒，计算机病毒的形态有哪些，病毒的功能目的是什么。第一个计算机病毒在《Rootkits And Bootkits Reversing Modern Malware And Next Generation Threats》中指出，计算机中最早出现病毒是1971年的Creepe

源于静态分析的技术：控制流图，数据流分析，依赖图，支配树。静态分析一个重要的发展方向是结合符号执行来提取动态信息。（从这里也可以看出来，特征抽取真的是核心部分），然而，符号执行不是真正的执行，一方面是符号计算的模拟能力不够，另一方面是遇到分支路径的时候，存在路径选择和分支爆炸的问题。检测的前提是分析，样本分析是检测工作的基本功，检测工作是样本导向的，不具体的分析样本检测工作就会跑偏。类似编译器的优化，优化是先分析再转换，检测是先分析再检测。我经常跟团队里的同学说，当你不知道该干嘛的时候就去分析样本，样本

组织介绍2021年5月7日，起源于美国得克萨斯州休斯敦、主要负责向美国东南部运输重油的石油管道系统科洛尼尔管道遭遇DarkSide勒索软件网络攻击，影响负责管理管道的计算机系统。遭到攻击的美国殖民管道（Colonial Pipeline）公司每天输送250万桶汽油、柴油及航空燃油和其他精炼产品，其运送量占美国东海岸供应量的45%。事发后，科洛尼尔管道暂停运作，全力应对袭击。17个州与华盛顿特区发布了区域紧急声明，以维持燃油供应。该事件是美国有史以来针对石油基础设施的最大规模网络袭击。DarkSide勒索

常见文件及格式列表格式后缀HEX数据开头ascii形式Windows Windows Executableexe4D 5AMZLinux Executableelf7F 45 4C 46.ELFMach-O Mach-O ExecutableFE ED FA CEPDF Document.pdf25 50 44 46%PDFMicrosoft document.docD0 CFdoc/docxSWF.swf46 57

Armoring 反分析反沙箱最受欢迎的三个虚拟机是 VirtualBox、VMWare Workstation 和 QEMU/kvm。固态磁盘 SSD能用Solid-state-disk固态磁盘 (SSD)就不要用盘片的硬盘驱动器 (HDD) 。在分析过程中，需要快速挂起VM，创建快照和恢复快照。 拥有 SSD 意味着磁盘读写速度比传统的基于盘片的 HDD 快，提高分析速度和效率。隔离网NAT模式让您的分析虚拟机的网络（或主机的网络）系统已打开）与任何在场所内容纳其他设备的网络隔离。这尤其适

malspam 垃圾邮件

介绍Virustotal 可以作为全球最大的恶意文件上传查询网站发展到今天已经远远不只是判断文件黑白的作用了。许多个人爱好者和安全研究员都在使用virustotal的企业账号进行高级威胁狩猎，hunting自己想要的病毒文件。本博客博主主要讲哈Virustotal 用来Hunting APT样本的一些技巧。首先说明一点，APT样本并不是说谁先发出来就是谁的。真正有价值的样本也是不会发出来的，计较样本是谁先hunting到的只会降低圈内分析病毒的积极性。VT上hunting到的样本还好，沙箱监控的样本很容

SMTP协议和ESMTP协议SMTP在TCP协议25号端口监听连接请求。SMTP协议对我们来说，应该是再熟悉不过的了，但是，这个协议在创建的时候并没有考虑到未来的邮件会成为垃圾，因此安全性很差（人们还是以RFC524为基础来执行SMTP的），邮件头可以任意创建、伪造和修改。邮件服务器一般不检查发送者的内容，而只关心接收者，这就给了垃圾邮件发送者可乘之机。互联网上的SMTP认证是针对无限制转发采取的措施。所谓无限制转发，就是任何人都可以使用你的服务器发送邮件，一方面降低了投入成本，另一方面隐藏了真实的来源

拖入IDA反编译exe发现有AutoIt字样。显然恶意软件是AutoIt脚本写的。这里是独立的可执行文件，该文件实际上是AutoIt解释器，其中将编译后的脚本作为资源嵌入其中。如上图使用PeStudio可以查看资源中具有AutoIt脚本，使用Exe2Aut软件可以提取原始脚本。使用InitializeSecurityDescriptor初始化安全描述符和SetSecurityDescript...

URL编解码站长工具ShellCode提取复制到所有文件————修改JS解混淆http://deobfuscatejavascript.com/#https://lelinhtinh.github.io/de4js/

LOKI控制行命令命令选项功能参数-h显示此帮助消息并退出-p要扫描的路径-s(千字节为单位) 以KB为单位的最大文件大小（默认为5000 KB）-l日志文件-r远程syslog系统-t远程系统日志端口-a警报级别的警报分数-w警告级别的警报分数-n通知级别的通知分数–printall打印所有扫描的文件–allreasons打印导致得分的所有原因–noprocscan跳过进程扫描–nofi

针对Bootkit：LoJax或MosaicRegressor和TrickBot等开始进行固件感染方式的病毒逐渐增多而作笔记整理。对主板上的SPI闪存芯片中存储的UEFI固件的所有请求都将通过SPI控制器，该控制器是Intel平台上的Platform Controller Hub（PCH）的一部分。可以通过PCI设备驱动访问PCI总线配置空间可以获取PCH的值。绕过BIOS/UEFI固件写保护写入SPI闪存用I/O命令访问PCI总线配置空间BIOS控制寄存器BIOS_CNTL攻击者如何感染UEFI固件？

在安全领域，无文件攻击意味着极其严重的威胁。“无文件”一词，是在探讨绕过恶意文件检测技术的方法时诞生的术语。“无文件攻击”只是一种攻击策略，其出发点就是避免将恶意文件放在磁盘上，以逃避传统安全软件的检测。本知识领域牵涉到病毒逆向分析和渗透测试两大版块。无文件攻击的种类病毒名称漏洞类型CVE编号漏洞位置Office漏洞CVE-2017-0199内嵌OLE2LINK对象Office漏洞CVE-2017-11882(噩梦公式一代)公式编辑器EQNEDT32.EXE

IDA具有yara的批量识别能力，虽然速度上差了点，但是却有着强大的静态分析处理能力接口，病毒分析师可以通过逆向分析或者动态调式获取关键加解密处的代码，使用IDApython来批量分析和处理样本得到具有价值的威胁情报信息。IDA在恶意软件分析中的主要作用是利用IDA无界面版本idat64.exe的强大自动化分析能力去批量处理家族样本，静态上解密或者去混淆，最终以得到病毒样本的URL和IP地址为主要价值信息使用的前提是：一、病毒家族样本的加密函数固定有规律有通性。二、病毒样本的加密函数比较简单或者标准

该样本出现在2019年9月6日，样本分析报告在2019年9月16日。样本来源于国外沙箱app.any.run。样本信息FileNameFileTypeFileSizeMD5Order____679873892.xlsRevengeRAT变种41,472 bytes7641fef8abc7cb24b66655d11ef3daf2样本行为样本启动后会有启动宏功能的安全提示。启用宏之后，提示运行时错误，提示标题为Microsoft Visual Basic,由此可以

CMD的混淆是JS、VBA、powershell等混淆语言中最难解的，因为对于CMD来说是没有公开的调试器的，需要去了解繁杂众多的CMD语法。CMD为了使用方得便，命令中有很多容错率，从而也导致BAT脚本可以被混淆得很厉害。以下是CMD中容易使用用来混淆的字符：语法符号功能作用>、>>重定向竖杠管道&&、&、双竖杠语句连接^转义字符，该字符不影响命令的执行，和 ;这两个符号可以互换，可以取代命令中的合法空格

PowerShell介绍Powershell 早期一种VBScript的代替脚本语言，同时也是一种shell命令行执行窗口。微软最初出行PowerShell的原因是为管理员提供的自动化管理工具。在2016年中期，微软迈出了之前想都不会想的一步，完整开源了Windows PowerShell。为什么要重视Powershell？1.GUI无法带来效率上的提升。2.其他脚本语言总是有种种缺憾。3.越来越多的产品和Windows系统中组件已经采用PowerShell现今的反病毒产品，对于检测磁盘上的恶意