- 博客(115)
- 收藏
- 关注
RSS订阅原创 【APT攻击】针对渗透测试人员的大规模钓鱼攻击,涉及38个Github账号,你中招了吗?
近期,我们接到客户寻求帮助。客户在GitHub上下载了一个开源项目,并在本地环境编译其中的代码。然而,在运行该项目后不久,客户察觉到计算机出现后台进程异常运行。经过初步分析,我们确认该项目存在明显的恶意行为。攻击者伪装成红队开源开发者,在GitHub上发布了一个精心构造的恶意代码库。再进一步溯源时,我们发现该恶意行为并非个例,而是一起大规模的针对渗透测试人员的APT攻击活动,其中涉及到38个GitHub账户均存在恶意后门。
2025-03-18 22:44:19
979
原创 【红队利器】单文件一键Kill360
在安全研究和渗透测试过程中,国内杀毒软件(如 360 安全卫士、360 杀毒)通常会成为绕过的主要障碍。360 系列产品具有强大的自保护机制。为了研究 360 的自保护机制,以及探讨如何在实际攻防场景中绕过安全软件干扰,本研究设计了一种单文件解决方案,旨在 一键终止 360 的核心组件,使其无法继续运行。
2025-03-18 21:56:19
569
原创 【红队利器】单文件一键结束火绒6.0
随着网络攻击手段的升级,安全软件在防护体系中的作用日益重要。火绒杀毒软件凭借高效检测与轻量化运行受到广泛认可。然而,任何安全产品都可能存在未被发现的缺陷。安全研究人员深入分析这些漏洞,有助于推动技术进步,为企业和用户提供改进建议,提升整体防御水平。目前团队已经开通知识圈子,圈子内部会不定期发布前沿的红蓝对抗技巧、免杀系列内容,同时还会不定期开放关于逆向学习相关课程和课件。除此之外圈子也作为一个平台,为大家创建一个技术交流的渠道,欢迎有兴趣的伙伴、也欢迎希望找到同频人的伙伴加入圈子。
2025-02-25 20:10:19
1222
原创 【红队利器】——某黑产团伙的IIS内存马源码
近期,我们追踪了某黑产团伙的一起攻击活动,发现该黑产团伙有能力劫持IIS服务器上的所有请求,并针对特定请求伪造特殊返回包,从而实现流量劫持、命令执行、黑帽SEO等功能。我们定位到该团伙通过IIS流量劫持的模块开发技术实现了全局HTTP流量劫持。目前团队已经开通知识圈子,圈子内部会不定期发布前沿的红蓝对抗技巧、免杀系列内容,同时还会不定期开放关于逆向学习相关课程和课件。除此之外圈子也作为一个平台,为大家创建一个技术交流的渠道,欢迎有兴趣的伙伴、也欢迎希望找到同频人的伙伴加入圈子。✅。
2025-02-22 16:49:27
299
原创 【红队利器】无文件免杀之内存执行远程程序
在渗透测试中,文件如何免杀一直是一个令人头疼的问题。随着安全产品检测能力的不断提升,传统的加载和执行方式很容易被检测并拦截。为了绕过静态和动态检测,我们考虑使用PE Loader 技术结合远程下载与内存执行,实现文件不落地的执行方式,从而有效提高免杀能力。🔒完整的项目代码已上传内部圈子🔒目前团队已经开通知识圈子,圈子内部会不定期发布前沿的红蓝对抗技巧、免杀系列内容,同时还会不定期开放关于逆向学习相关课程和课件。
2025-02-22 16:43:36
583
原创 【红队神器】自研Shellcode生成引擎
在传统 Shellcode 开发中,开发者往往需要面对一系列繁琐的底层技术细节:从手动编写汇编指令、处理函数寻址与重定位,到提取机器码字节、解决依赖库动态链接问题,甚至需要为兼容不同编译环境反复调整代码结构。这一过程不仅需要深厚的系统底层知识,还会让开发者将大量精力耗费在"工具链维护"而非核心功能实现上。对于安全研究、渗透测试或漏洞利用开发领域的新手来说,这种复杂性更是显著提高了技术门槛。为此,我们设计了一款高兼容的 Shellcode 生成框架,彻底重构了传统开发模式。
2025-02-14 23:08:57
705
原创 【免杀】白名单-杀软的阿喀琉斯之踵?用户侧终结杀软
自APT组织使用BYOVD技术以来,驱动kill杀软的例子数不胜数,对于免杀,既然免杀不了,那就直接干掉杀软。今天分享一个简单的办法,利用白名单机制,在三环直接Kill掉某杀软,直接免杀。
2025-01-13 10:40:38
295
2
原创 【持久化】单文件实现计划任务启动项持久化:巧妙绕过防护的实战技巧
当程序运行时,通过调用 PowerShell 执行计划任务的创建操作,即可实现计划任务的持久化启动,同时达到一定的免杀效果。4SecNet 团队专注于网络安全攻防研究,目前团队成员分布在国内多家顶级安全厂商的核心部门,包括安全研究领域、攻防实验室等,汇聚了行业内的顶尖技术力量。该技术手段的实现难度相对较低,其巧妙之处在于借助 PowerShell 的 Register-ScheduledTask 命令,将恶意模块伪装并直接添加至计划任务启动项中。中注册新的计划任务或更新现有的计划任务。
2025-01-07 10:18:24
388
原创 【免杀】BYOVD实战揭秘:如何通过内核驱动精准终结杀软防线
在日常工作中,我们深入分析了一起复杂的后门木马攻击事件。调查过程中,我们发现受感染终端的防病毒软件出现异常,无法正常工作,所有防护功能均被强制关闭。经过进一步的深入分析和溯源,我们确认攻击者使用了一种高级技术——BYOVD(Bring Your Own Vulnerable Driver)。这种技术通过利用合法但存在漏洞的内核驱动程序,成功强制终止了防病毒软件的运行,绕过了系统的安全防护机制,为后门木马的长期潜伏和恶意操作铺平了道路。
2024-12-31 15:57:25
632
原创 【免杀】窥破虚拟世界:一次有趣的反沙箱技术揭秘
在近期的工作中,我们偶然发现了一条非常实用且有趣的命令。通过这条命令,我们可以轻松获取计算机支持的最大内存容量以及内存插槽的数量。这条命令是否可以用来检测沙箱或虚拟机呢?通过分析系统支持的最大内存容量和内存插槽数量,或许能够捕捉到某些异常特征。例如,虚拟机环境中的硬件配置通常与物理机存在差异,可能会出现不合理的内存大小或超出常规范围的插槽数量。基于这些差异,这条命令或许可以成为我们判断虚拟环境的一种巧妙手段。
2024-12-31 15:19:22
1033
原创 【免杀】深入揭秘银狐:利用进程断网技术巧妙绕过360云查杀,窥探其APT化演进之路
在日常工作中,我们深入分析了一起银狐木马的攻击事件,发现该木马套件具备通过特定技术手段中断指定进程网络连接的能力,从而导致防病毒软件云查杀引擎无法正常发挥作用。为进一步了解其实现原理,我们对这一技术进行了全面而细致的研究与解剖,深入挖掘其运行机制和潜在威胁。
2024-12-31 14:57:36
424
原创 CVE-2024-23917 TeamCity高危漏洞利用(权限绕过)
TeamCity支持多种编程语言和开发环境,并提供了丰富的功能和工具,帮助开发团队构建和交付高质量的软件。1.最简单直接的方式,通过创建的用户登录系统之后,进入agent页面,查看在线的agent环境,点击OpenTerminal按钮,打开虚拟终端。1.通过Agent功能启动的进程通常处于session0会话空间中,与用户所在会话空间存在会话隔离,这就导致恶意进程"天生"具有隐蔽性。2.通过Agent功能启用的进程,通过继承TeamCityAgent的运行权限,用于系统权限,不需要额外的提权操作。
2024-10-19 10:00:37
200
原创 CVE-2024-28995 SolarWinds目录遍历漏洞
Linux环境下安装SolarWinds Serv-U的时候需要注意,执行完下载的安装包之后,需要在所有应用中手动启动SolarWinds,它不会自己启动,启动之后会在右上角显示SolarWinds Serv-U的图标,这个时候再双击一下就到了Windows环境下配置与环境的界面,之后的操作和WIndows环境类似。2024 年 6 月 5 日,SolarWinds 发布了一份针对 CVE-2024-28995 的公告,公告表明这是一个影响其文件传输解决方案 Serv-U 的高严重性目录遍历漏洞。
2024-10-19 09:40:42
257
原创 GeoServer 属性名表达式前台代码执行漏洞(CVE-2024-36401)
GeoServer是一个开源服务器,用于共享、处理和编辑地理空间数据。它支持多种地图和数据标准,使用户能够通过网络访问和操作地理信息系统(GIS)数据,遵循OGC开放标准的开源WFS-T和WMS服务器。在GeoServer 2.25.1, 2.24.3, 2.23.5版本及以前,未登录的任意用户可以通过构造恶意OGC请求,在默认安装的服务器中执行XPath表达式,进而利用执行Apache Commons Jxpath提供的功能执行任意代码。nuclei格式检测规则。python脚本扫描。
2024-09-29 21:27:09
384
原创 Windows错误报告服务本地权限提升漏洞(CVE-2023-36874)
Windows错误报告服务在提交错误报告前会创建wermgr.exe进程,攻击者可以使用特殊手法欺骗操作系统实现创建伪造的wermgr.exe进程,从而实现以system权限执行代码。
2024-09-29 21:06:22
294
原创 winrar(CVE-2023-38831)漏洞分析
WinRAR 是一种流行的文件归档程序,全世界有数百万人使用。它可以创建和查看 RAR 或 ZIP 文件格式的存档,并解压多种存档文件格式。WinRAR 支持创建加密、多部分和自解压存档。WinRAR 在处理压缩包内同名的文件与文件夹时存在代码执行漏洞。攻击者构建由恶意文件与非恶意文件构成的特制压缩包文件,诱导受害者打开此文件中看似无害的文件(如JPG文件)后,将在受害者机器上执行任意代码。
2024-09-28 23:10:58
961
原创 内网渗透之中间人欺骗攻击-ARP攻击
ARP全称为Address Resolution Protocol,即地址解析协议,它是一个根据IP地址获取物理地址的TCP/IP协议,主机发送信息时将包含目标IP地址的ARP请求广播到网络上的所有主机,并接收返回消息,以此确定目标的物理地址,收到返回消息后将该IP地址和物理地址存入本机ARP缓存中并保留一定时间,下次请求时直接查询ARP缓存以节约资源。以上关于ARP欺骗的内容总结到此。
2024-09-21 13:17:32
1280
原创 WMI系列--WMI订阅事件
内部事件表示的是创建、修改和删除任何 WMI 类,对象或命名空间的事件。所谓本地事件是指运行在本地上下文环境当中的单个进程的事件,因此本地事件订阅的生命周期是进程生命周期,相比较而言,永久性事件订阅可以在任何事件接收WMI事件,其保存在。__InstanceModificationEvent系统类报告实例修改事件,这是实例在命名空间中更改时生成的内部事件类型。系统类的类,它表示了在事件触发时的动作。事件分为两类,分别是本地事件订阅和永久性事件订阅。事件中筛选出我们感兴趣的事件,这个过程通过。
2023-05-31 15:24:32
1454
原创 Atlassian Confluence CVE-2022-26134 RCE漏洞
漏洞环境搭建前期主要搭建动态调试环境,但是一直失败(这里主要记录下动态调试环境搭建过程,待之后再碰到类似的问题,希望能够解决)通常称为服务端小程序,是服务端的程序,用于处理及响应客户的请求。之后即可直接调试(这次是成功了的,可以正常动态调试,反思和之前不一样的操作就是在弹出。直接对比补丁包的修改,入手点参考网上已有的分析报告.主要参考链接在文末给出.填入密钥,因为我这里已经注册过了,所以直接填入密钥,没注册过,可以点击。的环境基本上已经搭建完毕了,接下来进行网站设置,我选择的是。(直接进行动态调试)
2023-04-22 15:37:58
1291
1
原创 Zimbra 远程代码执行漏洞(CVE-2019-9670)漏洞分析
此漏洞的主要利用手法是通过。符号没有进行处理,就会导致上述类型的攻击,攻击者在发送上述类型的数据包的时候可以新建一个。的内容,这样一来处理数据会很方便,但同时也会有巨大的安全隐患:如果把目标。获取,其实只需要将上边的数据包中的字段修改下即可直接获取到高权限的。,在解析的过程中遇到实体的引用会直接获取相应的内容,即这里碰到。函数的处理流程,在整体的处理过程中对于请求的数据包,只针对。两个字段进行的解析,在解析的过程中会判断获取到的邮箱地址和。免费、简单,已经获得了广泛的支持,方便大众的使用。
2023-04-19 16:55:03
6215
原创 WMI系列--关于WMI
WMI的全称是,即Windows管理规范,在Windows操作系统中,随着WMI技术的引入并在之后随着时间的推移而过时,它作为一项功能强大的技术,从和Windows 95开始,始终保持其一致性。它出现在所有的Windows操作系统中,并由一组强大的工具集合组成,用于管理本地或远程的Windows系统。虽然WMI已经被大众熟知,并且从其创始以来,已经被系统管理员大量使用,但随着WMI。
2023-04-15 16:45:58
3465
原创 PsExec流量分析
当使用远程计算机上本地管理员组成员的用户通过net use \remotecomputer\ 命令建立IPC连接的时候不会以完全管理权限的管理员身份连接,用户无法在远程计算机上提升自己的权限,并且无法执行管理任务,如果用户希望使用安全账户管理器(SAM)中的用户管理服务器,则必须通过远程桌面连接来登录。大致是说:如果你的计算机是域中的一部分,使用管理员组中的用户连接远程计算机,此时UAC 访问令牌过滤器不会生效,不要使用本地的、非域内用户的账户连接远程计算机,即使该用户属于管理员组。
2023-04-14 16:13:21
893
原创 Zimbra 远程代码执行漏洞(CVE-2019-9670)环境搭建
Zimbra是著名的开源系统,提供了一套开源协同办公套件包括WebMail,日历,通信录,Web文档管理和创作。一体化地提供了邮件收发、文件共享、协同办公、即时聊天等一系列解决方案。
2023-04-12 20:41:46
1776
1
原创 apt-update更新失败--files list file for package ‘cmake-data‘ is missing final newline
本着死马当活马医的心态,想着先更新下源,执行了apt -update,发现依旧如此;然后呢,本着世上无难事只要肯放弃,所以往前回复了几个快照,重新下载。But,怎么回事还是报这个错,逼着我解决这个问题,所以如下:报错信息如下:over。
2023-04-12 11:03:22
387
原创 恶意样本分析报告
分析报告样本信息文件大小MD5文件名称72.07KB44BCF2DD262F12222ADEAB6F59B2975Bab.exe样本功能分析:通过shellcode编写进行免杀,实现干扰分析人员进度:通过多重跳转实现类似垃圾指令的功能,干扰分析人员,获取当前文件执行镜像名称与硬编码的数据进行对比,也是一种防止分析的手段(校验运行的进程名与预设的进程名是否相同)对文件名称进行校验:根据算法比较获取目标DLL文件DLL算法(有可能是UNICODE,也有可能是AN
2022-03-20 12:42:05
737
原创 Go语言恶意样本分析
样本信息样本MD56BC5F53D4082F12DD83ACA45BAE81E64样本编译语言go语言样本行为分析通过对样本运行的动态行为进行分析,样本主要行为如下:创建进程获取系统信息系统信息上传C2获取C2下发指令以及回传的文件执行C2回传的文件样本静态分析分析go语言的样本,与一般C\C++编写的PE文件有很大不同,在分析go语言编写的样本的时候,反编译会识别大量函数。这其中有大部分的库函数,因此分析go语言的恶意样本需要先找到函数入口点。main_ma
2022-01-29 12:27:00
1278
原创 遍历延迟导入表
不多比比,直接上代码:// 同时遍历PE文件的导入表、导出表的函数名#include<Windows.h>#include<stdio.h>#include <DelayImp.h>#pragma warning(disable : 4996)DWORD RVA_2_RAW(char* buf, DWORD Rva, DWORD Raw, BOOL flag);DWORD DelayImport(char* buf);typedef struct Img
2021-10-20 11:38:24
240
原创 Windbg调试记录
事情发生在一个万恶的周三,本来心情高高兴兴,熟料在调试hole的时候,要下断点输出相关的一些信息,然后打印换行符的时候,让我整个人一天都很抑郁。正常打印换行符的操作:调用printf.printf "%p.%p\n",eax,edi下断点的同时想要打印断点处的对应寄存器的值,同时换行:bp kernel32!CreateProcess .printf \"%p.%p\\n\",eax,edi单纯记录,别让自己蠢忘了...
2021-08-19 10:16:04
264
2
原创 关于IDA Python
关于IDA PythonIDAPython在IDA中集成了Python解释器,除了提供了Python功能外,使用这个插件还可以编写实现IDC脚本语言的所有Python脚本。IDAPython显著优势在于,它可以充分利用Python强大的数据处理能力及所有的Python模块。IDAPython还具有IDA SDK的大部分功能,与IDC相比,使用它可以编写功能更加强大的脚本。IDA Python包含三个独立的模块:idc:兼容idc函数的模块,负责提供IDC所有的函数,使用的时候自动导入idauti
2021-05-09 17:09:26
859
原创 内存展开文件分析——Dump文件产生的头脑风暴
这个完全是分析Dump文件学到的一点小技巧,作为记录,防止遗忘。Dump文件来源——大哥给了一个进程Dump文件,可能存在恶意行为,拿过来分析,从里边抠出来一个DLL文件。但是经过查看发现这个PE文件是已经在内存中展开后的镜像,IDA没办法直接分析,想分析得稍微处理一下,修正几个参数。当然,首先还是要判断这个文件处于什么状态,这个问题可以去看https://blog.youkuaiyun.com/cssxn/article/details/84031416?spm=1001.2014.3001.5501里边有较为
2021-04-14 18:59:43
378
1
原创 Windows服务之突破会话隔离——远线程注入
Windows服务第二话,会话隔离,关于服务不得不提的就是会话隔离机制了。服务作为一个特殊的应用程序,随着系统的开启和关闭而开始停止工作,部分情况下可能存在部分服务需要用户手动开启(一般都是用户自己自定义的服务)。在早期的Windows操作系统中,Windows 服务在后台执行着各种各样任务,支持着我们日常的桌面操作。有时候可能需要服务与用户进行信息或界面交互操作。这个时候系统的服务以及应用程序是运行在同一个会话空间的,但是这个时候会存在较大的安全隐患。因为服务在运行的时候是提升权限进行运行的,但是大部分
2021-04-13 10:41:35
968
1
原创 Windows服务二三事——编写Windows服务
Windows服务程序有固定的模式,一般由4个部分构成:main()、Servicemain()、ServerHandle()、自定义函数。main函数的作用与其他程序的主函数其实从主要作用上讲是一致的,主要作用就是创建服务分派表并且启动服务控制分派机制。简单讲就是初始化服务程序,开始干活。典型的服务main函数的代码如下:int main(){ SERVICE_TABLE_ENTRY ServiceTable[2]; ServiceTable[0].lpServiceName =(LPSTR)
2021-04-10 18:55:46
2818
原创 关于CFG的研究
关于CFG的研究CFG(Control Flow Guard)控制流防护,是微软在Windows8.0以及Windows10上推出的新的防护机制防护点在于,防护间接调用,防止在程序间接调用函数的时候,使用恶意代码进行替换,导致执行恶意程序。CFG的实现机制在于每当存在间接调用的函数的时候,就会先去判断一下间接调用的地址处是不是一个有效的函数的起始地址。主要关注缓解间接调用和调用不可靠目标的问题(在没有CFG支持的Windows中,这个函数不做任何事。在Windows 10中,有了CFG的支持,它指向nt
2021-04-03 11:39:09
1850
1
原创 关于APC机制
在病毒、逆向中,关于APC最常见的应用就是APC注入的使用了,但是随着随APC的深入了解,发现不管是在内核状态进行APC注入的操作,还是在用户空间执行APC注入的操作。虽然调用的API不同,但是核心内容是不变的,就是往APC队列中插入回调函数,但是一直对于这个回调函数什么时候执行,是怎么执行的很费解.看了毛教授的文章《Windows的APC机制》受益匪浅,总结一点自己关于APC的思路:之前在分析rootkit的时候,有注意到关于内核中文件的读写函数的API调用中存在APCRoutine的参数设定,内核文件
2021-03-12 15:31:38
1265
原创 关于虚拟机检测技术的研究
平平无奇的搬砖日,突然想起来之前分析的一个病毒好像有某种反虚拟机的方法,当时没太研究明白,甚至都没研究明白是检测虚拟机的操作。现在想起来回过头去再研究一下,虚拟机的检测技术,在这个过程中借鉴了很多其他大神的经典文章(当然大多数都是人家的东西,我只不过是拾人牙慧)相较而言,我们一般在分析病毒的时候,也会碰到一些反虚拟机反调试的操作。常见的反虚拟机的手段,无非就是遍历系统进程,检测特殊进程、检测特殊服务、检测注册表项等几种。国外SANS安全组织的研究人员总结出当前各种虚拟机检测手段不外乎以下四类:●
2021-02-27 17:46:38
1828
原创 Incase Format样本分析报告
事件背景2021-1-13日,Incaseformat病毒突然爆发,该病毒删除了除系统C盘以外的磁盘下的所有文件,导致用户数据出现重大损失。该病毒在2009年已经出现,属于很经典的“文件夹”病毒,为了查清此次病毒爆发原因,我们对该病毒行为进行了分析。
2021-02-20 20:17:04
104
1
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人