- jux1a
- 威胁情报分析
- TA的文章
- TA的专栏
- TA的评论
- TA的收藏
- TA的回答
- TA的话题
笔者在去年夏天学习和分析CobaltStrike时编写了一篇yara入门的文章,算是填坑,在此文中记录下一些常见的编写思路。
模板注入一直是钓鱼邮件的常青树,通常会配合着11882这个漏洞双剑合璧,悄无声息的窃取受害者主机上的文件,但由于这两个漏洞的特征较为明显,绝大多数的杀软都可以直接检测到,所以除了Gamaredon以外,也几乎没有其他组织会用0199漏洞利用的样本作为第一阶段的样本。
最近几个月又是海莲花活动的高峰期,在对样本一一分析之后,笔者发现大多数样本都会层层解密,最后加载CobaltStrike的Beacon。
关于KimSuky,笔者之前写过一篇文章对该组织的常见攻击手法进行了浅析。近期在对该组织的样本收集分析时也发现了不少以前没见过的样本,在本文中,将对一例以新冠疫情为诱饵的恶意样本进行详细分析。
由于golang的跨平台性,以及golang框架的复杂性所带来的免杀效果,现在越来越多的攻击者/红队开始使用golang开发恶意样本,这里做一个小结,记录下。
hvv期间,攻击者除了会对企业用户发起钓鱼攻击,还喜爱对蓝队防守人员发起钓鱼攻击,以防钓鱼手册、禁止访问xxx、钓鱼情况通报、蜜罐监控数据等为话题的鱼叉攻击层出不穷。在本文中,笔者将对最近看到的一系列样本进行分析,希望能帮助大家识别此类攻击,减少危害。
接上文,笔者通过上一篇文章逐渐完成了从CobaltStrike到Veil框架的过渡,在文章后半部分着重介绍了Veil框架的基本使用,也对Veil框架生成的一些恶意样本进行了一个简单的分析。
在上一节的的文章了,笔者对CobaltStrike的基本使用和PE样本进行了一个概要的分析。通过上一小节的内容,可了解CobaltStrike的基本原理和代码解密上线方法。在本节中,笔者将会对CobaltStrike其他类型的恶意样本进行一个分析。
CobaltStrike作为先进的红队组件,得到了多个红队和攻击者的喜爱。2020年年底的时候,看到有人在传cs4.2,于是顺便保存了一份。然后一拖就到了今天才打开,关于CobaltStrike外层木马的分析网上已经有很多,但是内层的payload好像没有多少分析文章,那我就刚好借4.2这个契机,详细分析一下CobaltStrike的组件。
在样本的逆向分析中,我们接触到的大多数是直接拿到的恶意样本,有的是PE文件;有的是包含恶意宏代码的office文档;有的是带有漏洞利用的office文档;有的是APK文件;有的是HTA文件;有的只是一个简单的LNK文件……
好久没分析样本了,最近闲暇之余有时间又刷了一下Bazzar.abuse.ch,下载并分析了一些最近上传的样本,其中有一个被标记为了Gozi的样本比较有意思,在这里分享给大家。
KimSuky是总部位于朝鲜的APT组织,根据卡巴的情报来看,至少2013年就开始活跃至今。该组织专注于针对韩国智囊团以及朝鲜核相关的目标。
看来国外的大佬说此样本可能会取代AgentTesla的身份是有道理的,目前来看,该款木马功能比AgentTesla完善,代码结构更复杂,干扰分析的代码也很多。
笔者之前在学习海莲花的时候,收集了不少相关的样本,在这里选了一个比较有代表性的分享给大家。主要是分析他们的一个代码实现。
APT28是一个疑似具有俄罗斯政治背景的APT组织。笔者根据公开的情报整理到的信息大概如下。
在日常刷twitter时,发现黑鸟大佬发了一个Bitter的样本md5。由于笔者之前也大概的看过bitter的相关样本,想着这个可能是新版本的bitter,于是下载回来分析一下。
在本文中,我们将详细介绍2017-11882这个漏洞。并详细分析使用该漏洞的一个实战样本。 其他的几个漏洞在后面的文章中依次详细介绍。
在过去一周,我做了一些Win32API相关的研究并尝试将其应用到实际的攻击中,在过去我已经做了一些与进程注入相关的工作,但是我一直在寻找更高级的攻击方式,同时希望能在进程注入的方向上更上一层楼。
本篇是YARA规则的入门篇,通过本节的内容我们可以发现,Yara在恶意样本检测中有着至关重要的作用(虽然本节中写的YARA很简单,但是Yara可以做的远远不止于此)。
在之前的文章中,我们分别分析了传统c++编写的downloader、Dropper和一些非PE的恶意样本如office宏、VBS、powershell脚本等。在本小节中,将以恶意样本的另一大巨头:C#编写的恶意样本为主题进行分析。
内核数据保护(KDP)是一种新的技术,它通过虚拟化安全的技术保护Windows内核和驱动程序的一部分来防止数据损坏攻击。
我们在对使用Moodle作为LMS(学习管理系统)后台的应用程序进行渗透测试的时候发现了此漏洞。Moodle LMS默认使用Unicode对数据进行转换,他们这样做的初衷是为了便于数据清理。但是同时也给攻击者提供了机会,攻击者可以绕过这些过滤器成功实现SQL攻击。
我们希望能够给其他遇到横向移动样本的分析师提供一定的支持。所以在本文中,我们将解释如何利用一个虚拟的Windows域分析此恶意软件以及我们用于确认某些恶意软件功能的分析技术。
在上一小节,我们分析了两个简单的office宏样本,也算是对非PE的攻击样本有了一个大概的了解,在本小节中,我们将分析一个Gorgon组织的样本,该样本通过VBA、powershell、VBS等方式进行组合攻击。算是目前非PE攻击中玩的比较溜的。
今天早些时候,著名的恶意软件研究人员Dinesh Devadoss在推特上发布了一篇关于MacOS勒索软件的新推文,表示这是一种冒充Google软件更新程序的新型恶意软件。
DLL劫持是一种用于执行恶意代码payload的流行技术,此文列出了将近300个可执行文件,它们容易受到Windows10(1909)上相对路径DLL劫持的影响。并展示了如何通过几行VBScript代码绕过UAC以提升特权执行某些DLL劫持。
- 勋章成就
- 稿费总计13230
- 发表文章40
- 参与讨论13
关注
0
粉丝
113
