1.将exe后缀命名为c后缀 在文件落盘时,终端杀软的实时防护功能会对落盘文件进行扫描。但杀软通常会略过某些类型的文件(不扫描),以降低对终端性能的占用。这之中,C语言源代码文件就是不会被传统杀软扫描的文件类型之一。银狐通过将样本执行文件伪装成C语言文件,绕过了杀软扫描。 2.利用云存储来部署HTML页面 在历史活动中,攻击者总是会将钓鱼页面部署在个人服务器上,然后通过传播恶意链接将受害者引导到这些页面。这种方式容易被网络安全系统检测到。然而,最新的变化是“银狐”团伙直接将钓鱼HTML页面存放在云存储桶中,使得受害者更难以分辨恶意链接,绕过了传统的网络检测手段,减少了被检测到的风险。此外,他们还能够更快速地部署和更换恶意页面,增加了灵活性的同时还进一步降低攻击成本。 3.利用QQ邮箱中转站|金山文档存储文件 将恶意文件储存于类似“QQ邮箱中转站”、“金山文档”而不是私人文件服务器。 这个缺失从来没关注过 4.云盘托管恶意文件 利用zoho企业网盘、奶牛快传、123云盘直链下发文件。其特点是隐蔽性和变化快,即使某些URL地址被封锁,攻击者仍能轻松更换存储位置,继续攻击。而不必担心服务器维护或被追踪。攻击者的快速部署和传播恶意文件的能力增加了攻击的复杂性。 5.利用chm来完成攻击 黑客利用开源工具“DotNetToJScript”将C#恶意加载器转成相应js脚本嵌入chm文件中执行。 双击压缩包中包含的CHM文件后,利用反序列化加载执行.NET程序,还会检测计算机上是否安装了.NET Framework,并根据检测结果设置相关的环境变量,从而执行不同的代码段。
好久好久没打过内网了,最近项目是内网的项目,才发现自己的储备已经远远不够了。推荐几个还不错的BOF 添加用户 反正过火绒是无压力的,项目中使用了,非常不错adduserbysamr sysadmin p@ssw0rd Administrators痕迹清理-自删除 项目已用,稳定好用self_delete PID命令执行套件 公鸡队之家修改版,主要利用Windows API来完成对应的命令,非常不错 屏幕截图 CS自带的屏幕截图在某些环境下会截不全,这个BOF可以保证你的截图是全的,很厉害。 其他的我暂时还没有用到,用到了再补充。
这篇文章聚焦于市面上的几种syscall的一些项目的特点做了介绍,主要就是介绍几种syscall如何获取系统调用号和如何系统调用,对于部分syscall还介绍了相关对stub的处理。 阅读的时候需要注意前面博主提到的名词:syscall stub,也就是这个mov r10,rcx mov eax,[系统调用号] syscall ret因为后面会反复提及这个名词
在做完马以后,经常会被360QVM,实际上是因为360会对不携带资源的可疑程序进行拦截,标签为HEUR/QVM202.0.29xx.Malware.Gen,以下是一些对照表 文章来源于2015年,较老,仅供参考HEUR/Malware.QVM06.Gen 一般情况下加数字签名可过 HEUR/Malware.QVM07.Gen 一般情况下换资源 HEUR/Malware.QVM13.Gen 加壳了 HEUR/Malware.QVM19.Gen 杀壳 (lzz221089提供 ) HEUR/Malware.QVM20.Gen 改变了入口点 HEUR/Malware.QVM27.Gen 输入表 HEUR/Malware.QVM18.Gen 加花 HEUR/Malware.QVM05.Gen 加资源,改入口点 QVM07加资源一般加到2M会报QVM06 再加数字签名,然后再慢慢减资源,这个方法对大部分木马有效果。 QVM06 加数字签名 QVM12杀壳 QVM13杀壳 QVM27杀输入表 QVM19 加aspack QVM20就加大体积/加aspack压缩
方便初学者理解CS Beacon的多种通信方式,文章介绍了包括 HTTP/HTTPS SMB DNS TCP