2023-04-23
/前段时间身边的大佬去搞攻防,近源攻击挺有成效的,拿了上千的分数,之前自己也有搞过但是一直没用到攻防上面,整理下相关的方式,后续可以参考参考,近源攻击,顾名思义😏你走近点打他,攻击队通过靠近或者位于攻击目标内部,利用各类智能设备、通信技术、物理接口等方法进行突破,也就是说,攻防期间,除了待在小黑屋里面坐牢,还可以接近目标现场,通过现场的环境进行渗透突破,达到进入内网,获取数据的目的,比起在网上打点,近源攻击能够又快又准的进入目标内网,且方法多种多样,成功率很高,但是有点随缘,运气不好的话,可能你丢的Badusb被保洁阿姨丢掉了或者被保安抓了也不一定,关键还是运气和苟住🤔
2022-11-01
/终端对抗一直是红队研究的重点内容,本文主要通过前面已有的研究来解开Windows Defender的ASR规则的神秘面纱,由于国内可供参考资料很有限,多以国外会议和议题参考为主
2022-10-25
/BOF(Beacon 对象文件)是C/C++编译,但未链接产生的Obj文件,BOF运行在Beacon进程中,并执行内部的Beacon API和Win32 API函数。BOF本质是COFF Obj文件,其符合COFF文件格式规范,结构类似于windows PE文件格式。在被Cobalt Strike加载和使用过程中,BOF是一段地址无关的Shellcode,BOF本身体积比较小,在传输过程中,适用于那些传输带宽小的模式,然后其本身运行在beacon进程内部,不会重新创建进程,也可以有效规避EDR。
2022-07-15
/Malleable PE 直译就是可拓展PE,通常来说,很多同学在做免杀的时候,会针对Loader进行免杀,并不会考虑针对beacon进行免杀,这就导致了很多杀软/EDR的内存防护能针对默认设置的beacon进行查杀。C2Profile提供了很好地操作beacon的方法,C2Profile不仅仅可以自定义beacon的通信属性(例如uri,header等等),还可以对beacon进行操作,从而实现免杀的目的。
2021-12-07
/样本地址:https://github.com/0range-x/Virus-sample/blob/master/Chapter_9L/Lab09-01.exe
是书中的一个案例样本,木马加了启动参数,还有启动密码,尝试分析木马的功能和行为
首先crack掉木马的启动密码,根据不同的启动参数分析木马的不同功能,最终建立socket通信。
2016-06-24
/人在做,天在看。
利用Powershell执行攻击由于其绕过现有病毒查杀体系的有效性,已经成为目前日益泛滥的攻击手段,不论普遍撒网的勒索软件还是定向的针对性攻击都有可能采用。360天眼实验室一直对此类样本做持续的监测, 5月份以来,我们注意到一类比较特别的样本,发现其有两个比较鲜明的特点。
2016-06-22
/你永远叫不醒一个装睡的人。但,快递小哥可以!
虽说是一句戏言,但确实多少反映出了快递在大家心中的重要性。如果你收到一个带有快递公司发来的电子邮件通知,你会不会也希望快点打开看看是不是哪个朋友给你寄了什么东西等着你去取呢?最近我们就收到了这样的一个带有“快递单号”的电子邮件附件。唯一有些水土不服的就是——在中国用FedEx的确实并不很多……大写的PITY……
2016-06-22
/近日,360安全中心收到多起用户反馈,手机中了一种难以清理的病毒,某些用户尝试自行清理掉病毒,发现删除病毒文件vold.apk后,会再次重现。通过分析,发现此病毒已经寄生到系统底层,定时恢复APK实现自我保护。随着反馈用户数量急剧上升,360急救箱已下发紧急查杀方案,全面支持清理该手机病毒。
2016-06-15
/人在做,天在看。
近期360天眼实验室捕获到一例针对印度的定向攻击样本,样本利用了沙虫漏洞的补丁绕过漏洞CVE-2014-6352,经分析确认后我们认为这是趋势科技在今年三月份发布的名为“Operation C-Major”APT攻击活动的新样本。关于C-Major行动的相关内容,有兴趣的读者可以在文后的参考链接中查看。
2016-06-06
/作为一类古老的病毒,宏病毒随着勒索软件的兴起而卷土重来。尤其是在2016年,以Locky为代表的勒索软件利用Office宏肆虐传播,宏病毒也成为目前最活跃的病毒品种之一。
2016-06-02
/近期,360烽火实验室发现一类潜藏两年之久的Android木马,被利用专门从事私彩赌博、短信诈骗活动。该木马集远程控制、中间人攻击、隐私窃取于一身,能够在受害者不知情的情况下,拦截并篡改任意短信,监控受害者的一举一动。通过对该类木马的追踪发现,常见的社交类软件也在攻击中被利用。
2016-05-31
/日前实验室捕获一个样本。远远望去,像是搜狗输入法,在测试机中点开一看,弹出一款游戏的物价表,再看PE文件属性,还带正常着数字签名,一副人畜无害的样子。经过一番认真分析后。发现远没有这么简单,这里就分析过程记录一下,希望其他安全工作者有些许帮助。
2016-05-27
/在Github上,涉及到将社交网络作为C2 server(可理解为命令控制服务器)的poc项目越来越多,如利用gmail的gcat
、gdog
,利用twitter的twittor
、以及利用Telegram的Blaze Telegram Backdoor Toolkit (bt2)
,使用这类方法的好处不仅仅是因为社交网络的服务器稳定,更多的原因在于其通信可以隐藏在正常流量中,不易被发现。本文将对Telegram中的Bots功能作详细介绍,并通过python实现基础的的api调用,同时对Blaze Telegram Backdoor Toolkit (bt2)进行测试,分享其中需要注意的地方。
2016-05-17
/4月份360 移动安全团队发布的《Android勒索软件研究报告》详细揭露了目前国内Android勒索软件黑色产业链情况。其中,报告中指出国内勒索软件传播方式主要借助QQ群、受害者、贴吧和网盘。另外,报告也指出国内勒索软件的制作门槛低,制作人群呈现年轻化等特点。