对HW 钓鱼简单样本分析以及制作

最新推荐文章于 2024-09-14 19:55:29 发布
最新推荐文章于 2024-09-14 19:55:29 发布
阅读量472 收藏 8
点赞数 4
文章标签: 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zkaqlaoniao/article/details/137035335
版权

记录某个对某个钓鱼事件中获取的钓鱼样本进行分析,以及简单的制作学习
样本行为分析
首先看到是 qq 邮箱发来的某个压缩包大概本身是带密码的,反手就丢到虚拟机先看下大概文件,解压后是这样的一个快捷方式
 

图片


然后打开属性查看快捷方式,看到他运行了一个 rundll32.exe 的文件,应该很多人已经知道这是为了调恶意的 dll,但一看就一个 rundll32.exe 后面全被空格隐藏了后面的命令执行
 

图片


但解压开确只有一个 lnk,小问题,我们打开 cmd 命令执行 dir /a
 

图片


我们只需通过该命令
attrib -s -a -h -r C:\Users\14022\Desktop\北京交通大学-xxxx\北京交通大学-xxxx.pdf
就可以将该恶意脚本显示,不然无论查看如何设置都是不行的
 

图片


显示出来后,看到 rundll32.exe 驱动的就是这个 dll(这个pdf后缀的文件就是将dll文件改成pdf后缀然后用rundll32来进行运行),显然这就是那个可恶的马仔了,立即拿出我的 ida pro 丢进去分析一手
好小子,居然是 apc 注入将 shellcode 注入进 rundll32 进程最后远控会连

图片

继续往下摸索看到了该远控指向的地址www.microsoftdnsserver.xyz:2087,这个丢微步的云沙箱也可以解析分析到,全局搜索

图片

确实是为恶意域名
样本简易制作方式解析
首先是对快捷方式的参数的隐藏,这里笔者做了一个简单的 python 脚本作为例子,具体展示在参数这块

图片

因为快捷方式只能容纳 260 个字符,我在参数添加了 n 个空格作为隐藏,其真实参数为/k calc 为启动一个计算机的操作,运行生成 cmd_shortcut.lnk
 

图片


打开属性进行查看,参数也依然被隐藏

图片

点击后弹出计算机

图片

完成了病毒样本做的第一个恶意样本操作之后我们接下来就对 pdf 的隐藏,这块也算比较简单,我直接贴命令演示
attrib +s +h C:\Users.…\Desktop\1.txt 参数后面为需要隐藏的文件,这样也就完成了对该病毒样本的简单分析与制作

 申明:本账号所分享内容仅用于网络安全技术讨论,切勿用于违法途径,所有渗透都需获取授权,违者后果自行承担,与本号及作者无关,请谨记守法。

免费领取安全学习资料包!

渗透工具

技术文档、书籍

 

面试题

帮助你在面试中脱颖而出

视频

基础到进阶

环境搭建、HTML,PHP,MySQL基础学习,信息收集,SQL注入,XSS,CSRF,暴力破解等等

 

应急响应笔记

学习路线

渗透测试老鸟-九青
关注
hw技战法整理参考
战神/calmness的博客
07-29 6010
首先通过安全设备的报警,如态势感知等系统进行判断,将扫描IP、木马、威胁阻断、入侵等事件的攻击IP获取出来,通过对日志流量分析,异常的通讯流量和攻击源目标进行筛选,对钓鱼右键,钓鱼网站URL进行分析,提取敏感IP,通过蜜罐捕获,获取攻击方IP。对于系统一些敏感、高危操作的功能,通过埋点,对涉及业务系统账号的操作行为纳入监控,可精准追踪各业务系统账号登录后的相关操作行为,可知谁在什么时间段做了什么操作,接入风控平台实时监控,一旦发现反常规操作,立即响应确认,封禁账号,查看日志记录,排查系统问题。
对某单位的 APT 攻击样本分析
晓得哥的博客
08-14 1155
作者:SungLin@知道创宇404实验室 时间:2019年7月30日 一.恶意邮件样本的信息与背景 在六月份的某单位HW行动中,知道创宇HW安全团队通过创宇云图APT威胁感知系统并结合腾讯御点终端安全管理系统成功处置了一起APT攻击事件。 7月份对同一样本的补充截图如下: 在本次APT攻击中,攻击者通过发送鱼叉式钓鱼邮件,配合社会工程学手段诱导用户运行宏代码,进而下载尾部带有恶意payload...
一款专门针对高质量女性的易语言钓鱼样本简单分析
蚁景网安学院
09-29 284
由于一直没怎么分析过易语言的样本,想学习一下易语言的样本分析过程,正好最近碰见了一个易语言编写的样本,是一个专门针对人类高质量女性进行钓鱼样本,正好拿来学习学习,笔者是一边学习一边分析,...
对某钓鱼样本分析
vspiders的博客
08-10 377
HVV期间遇到一个钓鱼样本,用IDA简单分析样本逻辑及C2信息。
初入门径 --- 护网钓鱼样本分析
abelxu
06-02 626
最近半个月都在学《恶意代码分析实战》,想拿真实的恶意软件进行分析一下。正好朋友发了一个过来。(应该是护网的钓鱼文件) 0x01 文件分析 总共包括三个文件:2021年机关员工(子女)名单.exe、name1.jpg、name2.jpg 2021年机关员工(子女)名单.exe:程序是golang编译的,分析起来有点困难。所以没有进行分析,只是看了一下会有什么行为。 name1.jpg为exe name2.jpg为dll导出了InitBugReport函数,且该函数存在异或解密shellcode的行为。 0
HW多人运动溯源反制指北1
08-03
本文将从反制团队的构建、技术层面的反制思路、Windows和Linux跳板服务器的溯源方法,以及对红队成员电脑的分析与控制等方面,探讨如何实施有效的反制措施。 首先,反制团队的构建至关重要。理想的团队包括渗透测试...
基于风险分析网络安全框架的信息技术安全体系的决策支持模型
制作和主办:Elsevier埃及信息学杂志23(2022)383全文基于风险分析网络安全框架的信息技术安全体系设计的网络安全决策支持模型Khairur RazikinSahar,Benfano Soewito计算机科学系,BINUS研究生课程,计算机科学...
网络安全 hw 蓝队实战之溯源
msb_114的博客
03-27 2571
记一次网络安全 hw 蓝队实战之溯源
红队钓鱼技术之LNK快捷方式
xf555er的博客
08-07 1184
lnk文件是用于指向其他文件的一种文件。这些文件通常称为快捷方式文件,通常它以快捷方式放在硬盘上,以方便使用者快速的调用。lnk钓鱼主要将图标伪装成正常图标,但是目标会执行shell命令。
神秘的HW到底是做什么的?_软件开发 hw,2024年最新2024Golang最新大厂面试真题总结
2301_82244608的博客
04-20 904
*互联网资产的外联机构信息:**github(或开源社区)、APP应用、微信小程序、微信公众号、账号泄露、邮箱泄露、百度文库、各大网盘、未知IP、未知域名、未知系统、未知主机、微信情报标记恶意攻击源,高危端口暴露、各大应用市场app、子公司或分支结构暴露信息。:SQL注入(GET注入、POST注入、HTTP头注入)、XSS(跨站脚本攻击)、暴力破解、扫描探测、弱口令、远程命令执行、反序列化、任意代码执行、URL重定向、文件包含、任意文件上传、未授权访问、目录穿越、业务逻辑篡改。
红蓝对抗-HW红蓝队基本知识(含网安学习的全部路线)
fly_enum的博客
04-23 1538
蓝队,一般是指网络实战攻防演习中的攻击一方。👉网安(黑客红蓝对抗)所有方向的学习路线👈蓝队一般会采用针对目标单位的从业人员,以及目标系统所在网络内的软件、硬件设备同时执行多角度、全方位、对抗性的混合式模拟攻击手段;通过技术手段实现系统提权、控制业务、获取数据等渗透目标,来发现系统、技术、人员、管理和基础架构等方面存在的网络安全隐患或薄弱环节。蓝队人员并不是一般意义上的电脑黑客。因为黑客往往以攻破系统,获取利益为目标;而蓝队则是以发现系统薄弱环节,提升系统安全性为目标。
2021 HW红队样本分析(二) C++ ShellcodeLoader
J0o1ey Blog
08-31 226
0x01 样本概况 Name:国家xx局安全升级文档.docs.exe ico为word的,很显然在利用已知扩展名隐藏的特性在钓鱼 在Virustotal网站上,样本报毒9引擎,基本上绕过了全部国产杀毒,免杀效果相对较好 其样本为C2远控样本,回链地址为39.107.95.197 其回连IP已经被标记为恶意C2 IP 行为特征如下 0x02 样本分析 对该样本进行反编译处理,该恶意样本执行流程如下创建互斥体 检查用户名 检查当前环境是否为虚拟机 检查系统语言 从http://39.107.
3、聊聊护网中常见钓鱼攻击思路
划水的小白白
07-18 4403
每日一句: HW中,红队、蓝队都会很累。 没有说哪个会更强一些,毕竟道高一尺魔高一丈。 一、网络钓鱼 01.一些简介 ~钓鱼属于社会工程学 ~在18年的红蓝对抗还不怎么常见, ~在19年的时候就比较泛滥了 02.为什么会被钓鱼 ~因为好奇或者兴趣,随意打开广告或未知邮件中的链接 ~使用私人邮箱发送或者接受带有敏感信息文件的邮件 ~从来不重启或关闭计算机,导致系统补丁无法成功安装 (特别是一些单位领导,他们的关机就是将显示屏合上) 03.钓
2021HW-某红队样本简单分析(附免杀shellcodeloader)
J0o1ey Blog
05-27 682
0x01 邮件原文与样本 hw期间内部邮箱网关收到了钓鱼邮件 邮件原文如下 解压后得到样本 财险内部旅游套餐方案.pdf.exe 样本为大小为5.88M,HASH如下 MD5 5bc32973b43593207626c0588fc6247e SHA-1 551414cb283a56cf55817c720c2efee0144ea2ed SHA-256 d12e852eeefa87e75c7876fb53947b979bfbf880eb825eb58b9fe7f0132809ad VT报毒 14/69,免杀
记一次粗浅的钓鱼样本分析过程
蚁景网安学院
08-19 620
原创稿件征集 邮箱:edu@antvsion.com QQ:3200599554 黑客与极客相关,互联网安全领域里的热点话题漏洞、技术相关的调查或分析,稿件通过并发布还能收获200-800元不等的稿酬。 0x00 前言 一切的一切要从 (盘古开天辟地) 几个月前的某大型网安活动期间说起。话说当时一位素未谋面的基友给在下发了一个疑似钓鱼样本,说是让我试试看下能不能溯源出攻击方。于是虽然作为一名萌新,此前也从未接触过类似的工作,但想到既然是基友的请求,那也唯有欣然接受了。不过值得庆幸的是,最后虽然折腾了大半.
hw小技巧
weixin_43570648的博客
09-09 1735
小弟也第一次参加hw,经过5天hw,确实也学到了许多的东西,但就本次分享而言,我分享一些我认为在hw里面值得注意的东西以及一些小技巧 一.信息收集 信息收集这个多西当然都是老生常谈了,你收集的东西越多,能打的方向也就越多,当然,hw给你打的资源的格式一般为单位名称,系统名称,域名,IP地址。当然,其他的资源可能都大同小异。 网上都有很多信息收集的东西,都是那一套,扫端口,找子域名,看站有没有泄露什么东西,什么敏感文件,看网站的框架。现在,我就先给大家梳理一下。 信息收集的本质有2个,一是把现有的资源扩大,能
4.网络编程
最新发布
weixin_45476535的博客
09-14 455
程序注册端口:1024-49151。单个协议下,端口号不能冲突。公有端口0-1023。
使用堡垒机登录ftp服务报网络不可达错误
ajax_beijing_java的博客
09-14 164
解决方法:由于不想安装额外的服务在服务器上,于是想到使用sftp服务代替ftp服务,发现是可以使用的。22端口默认就是启动的,在堡垒机上加了sftp服务,再次连接服务器并使用filezila传输文件 ,文件可以正常传输。至此,问题得到解决。场景:开发同事想使用ftp传输服务,连接服务器时报网络不可达错误。排查发现,如果想使用ftp服务,需要在服务器上部署ftp服务,21端口才会存在,才可以访问该服务。
上海东软载波微电子HW2000用户指南:编程、测试与故障分析
这份文档详细介绍了HW2000设备的工作模式、初始化过程、数据包收发机制以及相关的RF测试说明。以下是主要内容概述: 1. **编程说明**: - **工作模式**: 用户指南首先解释了设备的不同工作模式,包括硬件链路控制...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值