2021 HW红队样本分析(二) C++ ShellcodeLoader

已于 2023-02-15 13:30:39 修改
阅读量269 收藏 1
点赞数
分类专栏: 网络安全 样本分析 文章标签: c++ python 深度学习 网络安全 反病毒
于 2021-08-31 08:38:31 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_26091745/article/details/120009414
版权
本文档分析了一个利用Word图标隐藏的恶意文档,该文档在Virustotal上仅9个引擎报毒,绕过了大部分国产杀毒软件。样本为C2远程控制木马,回连地址39.107.95.197已被标记为恶意。样本执行流程包括创建互斥体、检查环境、下载shellcode并执行。shellcode为cshttpsbeacon载荷,涉及恶意回连。提供有样本下载链接供进一步研究。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

0x01 样本概况

Name:国家xx局安全升级文档.docs.exe

ico为word的,很显然在利用已知扩展名隐藏的特性在钓鱼

在Virustotal网站上,样本报毒9引擎,基本上绕过了全部国产杀毒,免杀效果相对较好

img

img

其样本为C2远控样本,回链地址为39.107.95.197

img

其回连IP已经被标记为恶意C2 IP

img

行为特征如下

img

0x02 样本分析

对该样本进行反编译处理,该恶意样本执行流程如下创建互斥体
img
检查用户名
img

检查当前环境是否为虚拟机

img

检查系统语言

img

从http://39.107.95.197:8888/update64.bin下载文件并复制到内存

img

img

virtualAlloc开辟内存后

将刚刚下载的bin文件的shellcode加载到开辟的内存中并且执行

img

winhex查看bin文件

其shellcode为标准的cs https beacon载荷,回连地址如图

img

0x03样本下载链接

发布于qax攻防社区的样本分析文章中的样本均已打包在如下链接

链接:https://pan.baidu.com/s/1uqsba-YPlBAIv5wuR_vXWQ
提取码:m78s

HW方案
qq_22078549的博客
06-12 2020
防护检测组 梳理现有网络安全监测、防护措施,查找不足; 该修复修复,该上设备上设备。 根据综合研判组安全自查发现的安全漏洞和风险进行整改加固及策略调优,完善安全防护措施; 加固:盖好防御工事 调优:缩紧安全策略 利用(全流量安全监测系统、防火墙、WAF、IDS、漏洞扫描系统、主机入侵检测系统、网站防护系统、安全策略分析系统)监测技术手段对网络攻击行为进行监测、分析、预警和处置上报(封禁IP地址、恶意特征行为阻断、上报综合研判组以及应急处置组等); • 木马后门回连 • webshell上传 • 漏洞利用事件
shellcode弹出对话框
Linux方程式
11-11 3183
功能是弹出一个对话框。本段代码在VC6.0上编译通过,此shellcode能在所有windows系统上运行且屡试不爽。  char shellcode[]= "\xfc\x68\x6a\x0a\x38\x1e\x68\x63\x89\xd1\x4f\x68\x32\x74\x91\x0c" "\x8b\xf4\x8d\x7e\xf4\x33\xdb\xb7\x04\x2b\xe3\x66\x
c++之shellcode加载器
qq_44657899的博客
05-26 4102
文章目录VirtualAlloc申请内存堆 VirtualAlloc申请内存 #include <windows.h> #include <iostream> #include <time.h> #pragma comment (lib, "winmm.lib") #pragma comment(linker,"/subsystem:\"Windows\" /entry:\"mainCRTStartup\"") void startShellCode() { unsi
shellcodeloader
xuqi7
06-26 426
调试执行 shellcode
探索Shellcode_Loader:一款高效、灵活的Shellcode加载器
gitblog_00002的博客
04-22 850
探索Shellcode_Loader:一款高效、灵活的Shellcode加载器 去发现同类优质开源项目:https://gitcode.com/ 在安全研究和逆向工程领域,Shellcode是一个关键元素,它是一段可以直接由处理器执行的小型机器码程序。然而,如何安全且有效地加载这些代码并不总是那么简单。这就是项目的用武之地。本文将带你深入了解这款工具的功能、技术实现及应用场景。 项目简介 Shel...
2021HW行动红队作战手册.pdf
07-01
2021HW行动红队作战手册
2021HW行动红队作战手册.rar
09-07
2021HW行动红队作战手册》是针对网络安全领域中的红队行动提供的一份详细指南。红队行动通常是指模拟黑客攻击行为,以测试和提升组织的安全防护能力。这份手册涵盖了红队行动的各个方面,包括前期规划、情报收集、...
HW红蓝对抗-红队、蓝队、紫队实战攻防演习战略战术全解.zip
03-16
HW红蓝对抗:红队视角下的防御体系突破 HW红蓝对抗:蓝队视角下的防御体系构建 HW红蓝对抗:紫队视角下的实战攻防演习组织 红队攻击思维及常用的攻击策略和攻击战术; 蓝队防御阶段划分、常用应对攻击策略、实战化的...
HW弹药库之红队作战手册.zip
08-19
0x01 入口权限获取[前期侦察,搜集阶段本身就不存在太多可防御的点,非防御重心] 0x02 入口权限获取[ 外部防御重心 ( "重中之重" ) ] 0x03 入口权限获取[专门针对各类基础服务端口的各种getshell利用,防御重点 ( ...
rust-windows-shellcode:Rust中的Windows Shellcode开发
03-05
用Rust编写Windows Shellcode 项目概况 Windows shellcode项目位于shellcode/ ,它可以构建为仅包含.text节的PE文件,并且没有外部依赖项。 然后,我们可以转储.text节并进行一些修补以使其与位置无关。 这个想法来自的项目 。 如何建造 (仅在Win10 x64上测试过) 构建shellcode进制文件 rustup default nightly-x86_64-pc-windows-msvc cd shellcode/ cargo build --release 如果一切顺利,我们将获得shellcode\target\x86_64-pc-windows-msvc\release\shellcode.exe 转储.text部分并做一些补丁 我们在.text部分的开头打补丁,使其跳转到入口点。 这样,我们可以在合并部分中存储一些字符串
Shellcode免杀对抗(C/C++)
热门推荐
qq_74806534的博客
02-17 2万+
这里便是杀毒软件杀毒的原理,这就是特征,我们只需要将木马程序进行简单的分析,就能得到shell回连的IP地址和端口,如果杀毒软件发现我们的可执行文件是一个木马程序。加载器的作用:由于shellcode是一段可以执行的进制代码,因此需要开辟出一段可以读写可操作的地址来运行shellcode,而这就是加载器的作用。之后打开.c文件是一个未编译代码,放到上文的编译代码中,注意这里是x64编译,用的方式三,使用.c文件。因为我们的加载器的特征,各平台杀毒软件都有了已经,所有我们就要用新的,特征没有被锁定。
C/C++ 到 shellcode 过程
qing666888的专栏
01-16 1893
最简单的弹出cmd代码 1 #include2 #include 3 void main()4 {5 system("start cmd");6 } 为了确保system函数存在,加入LoadLibrary("msvcrt.dll"); 1 #include2 #include 3 4 void main()5 {6 LoadLibrary("msvcrt
2021HW-某红队样本简单分析(附免杀shellcodeloader)
J0o1ey Blog
05-27 740
0x01 邮件原文与样本 hw期间内部邮箱网关收到了钓鱼邮件 邮件原文如下 解压后得到样本 财险内部旅游套餐方案.pdf.exe 样本为大小为5.88M,HASH如下 MD5 5bc32973b43593207626c0588fc6247e SHA-1 551414cb283a56cf55817c720c2efee0144ea2ed SHA-256 d12e852eeefa87e75c7876fb53947b979bfbf880eb825eb58b9fe7f0132809ad VT报毒 14/69,免杀
HW面试常见知识点2——研判分析(蓝队中级版)
练习时长两年半的CTF爱好者
06-03 7670
护网一般分为红蓝两队,做红蓝对抗。红队为攻击队,红队的构成主要有“国家队”(国家的网安等专门从事网络安全的技术人员)、厂商的渗透技术人员。其中“国家队”的占比大概是60%左右,厂商的技术人员组成的攻击小队占比在40%左右。一般来说一个小队大概是3个人,分别负责信息收集、渗透、打扫战场的工作。蓝队为防守队,一般是随机抽取一些单位参与。另外设有裁判组 负责整个演习过程中的评判、评分工作。网络安全人才,是建设网络强国的最重要资源。网络安全的本质在对抗,对抗的本质在攻防两端能力的较量。
免杀基础 - shellcode loader 解析
最新发布
m0_57836225的博客
11-10 608
shellcode loader 是一种用于加载和执行 shellcode 的机制。shellcode 通常是一段用于利用软件漏洞的机器码,在免杀场景中,合理地加载它可以帮助我们绕过一些安全检测机制。
2021 HW红队样本分析() Nim ShellcodeLoader
J0o1ey Blog
08-31 393
0x01 样本概况 Name:主机邮件安全检查工具 ico使用的是360的图标 在Virustotal网站上,样本报毒1引擎,基本上绕过了全部国产杀毒,免杀效果较好 0x02 样本分析 对该样本进行反编译处理, 根据程序中各地址字符串信息可以推断 该样本使用了较为小众的语言nim作为shellcode loader 因为该样本使用的是nim语言,导致反编译出现有较大困难 获取到了部分远程加载地址 http://47.105.76.103:8023/log.txt http://47.105.76
推荐开源项目:Shellcode Compiler - 简易且强大的代码转Shellcode工具
gitblog_00077的博客
05-15 598
推荐开源项目:Shellcode Compiler - 简易且强大的代码转Shellcode工具 ShellcodeCompilerShellcode Compiler项目地址:https://gitcode.com/gh_mirrors/sh/ShellcodeCompiler Shellcode Compiler是一个创新的开源程序,它可以将C/C++风格的代码编译成适用于Windows(x...
HW
weixin_45358803的博客
08-21 982
一、HW前 1、了解自身有什么 了解自有资产列表 确认有哪些安全产品、可以监控哪些业务 了解对外服务情况(网站、端口) 了解对外服务风险点 了解网络拓扑、业务拓扑 了解业务流走向 注意点:避免有遗漏资产对外服务 2、了解自身没有什么 确认己方缺少的点,无论是人员技能还是安全产品 确认哪些业务未接入安全产品监控范围 多次确认安全薄弱点,进行重点监控 3、知产品 云防护 云waf CDN 串联类设备 WAF 邮件网关 IPS 抗D 防病毒 负载均衡,前置代理 旁路
hw红队常用工具集合
06-03
HW红队的常用工具集合主要包括以下几个方面: 1.渗透测试工具:如Nmap、Metasploit、Burp Suite等,用于发现漏洞并获取系统权限。 2.后门工具:如Hacker Defender、Meterpreter等,可以在攻击成功后,使攻击者能够随时访问目标系统。 3.密码破解工具:如John the Ripper、Hashcat等,用于破解加密的密码。 4.网络扫描工具:如Zmap、Masscan等,用于快速扫描互联网上的端口和服务。 5.无线攻击工具:如Aircrack-ng、Wifite等,可以对Wi-Fi网络进行攻击和破解。 6.社交工程工具:如SET、BeEF等,用于伪装成合法用户获取目标系统的信息或者提供网络钓鱼攻击。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

J0o1ey

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值