[2022]疑似对红队C2的投毒 huoji APT 2022-10-22 1494 次浏览 101 次点赞 2022 6月17日的时候,github上莫名其妙的出现了这个项目: ![](https://key08.com/usr/uploads/2022/10/3822165132.png) https://github.com/xiaoma99272/ShellcodeLoader-1/commit/81cdab6a0d9d31a37134cc5b6e265962e88654b2.patch 这里引用的fork的,因为原项目已经拉闸了 这是目前已知的最早的记录 ![](https://key08.com/usr/uploads/2022/10/2859784080.png) 然后,就莫名其妙的,火了(果然,免杀才是最能戳国内安全人员G点的东西) github上搜索208的code result ![](https://key08.com/usr/uploads/2022/10/1733938106.png) ![](https://key08.com/usr/uploads/2022/10/3122815983.png) ![](https://key08.com/usr/uploads/2022/10/2143287401.png) 然而这玩意带后门... ### 分析 这个本质上给shellcode一键免杀的东西样本分析流程如下,说白了就是,寻找AAAA 然后把AAAA 替换为 给的shellcode 这是loader: ![](https://key08.com/usr/uploads/2022/10/3457172543.png) 寻找AAA ![](https://key08.com/usr/uploads/2022/10/1548412564.png) 并且替换成自己的: ![](https://key08.com/usr/uploads/2022/10/2479644772.png) 这是模板里面的内容: ![](https://key08.com/usr/uploads/2022/10/2036653815.png) 非常基础的玩意 后门在printf里面,这个printf被人改过: ![](https://key08.com/usr/uploads/2022/10/133828243.png) 这里是寻找资源管理器的进程 ![](https://key08.com/usr/uploads/2022/10/3368773492.png) 看参数,应该是注入 ![](https://key08.com/usr/uploads/2022/10/3032467554.png) 不过生成出来的shellcode应该是没带后门的,这一点挺良心 目前作者已经跑路 ![](https://key08.com/usr/uploads/2022/10/117755545.png) ### 后续 我一开始以为生成出来的shellcode造物会带毒但是找了一下没发现,想了想 因为这玩意目标是控制红队的C2 红队的C2没了 自然直接控制底下的hvv的机器 而且红队的C2一般没啥防护 如果shellcode生成出来带后门了 目标机器可能会带流量监控啥的,容易暴露 ### 反思 就这个垃圾免杀的代码,star数量都比我的开源项目总和高.... 本文由 huoji 创作,采用 知识共享署名 3.0,可自由转载、引用,但需署名作者且注明文章出处。 点赞 101
111