[2022]疑似对红队C2的投毒 huoji APT 2022-10-22 1494 次浏览 101 次点赞 2022 6月17日的时候,github上莫名其妙的出现了这个项目:  https://github.com/xiaoma99272/ShellcodeLoader-1/commit/81cdab6a0d9d31a37134cc5b6e265962e88654b2.patch <!--more--> 这里引用的fork的,因为原项目已经拉闸了 这是目前已知的最早的记录  然后,就莫名其妙的,火了(果然,免杀才是最能戳国内安全人员G点的东西) github上搜索208的code result    然而这玩意带后门... ### 分析 这个本质上给shellcode一键免杀的东西样本分析流程如下,说白了就是,寻找AAAA 然后把AAAA 替换为 给的shellcode 这是loader:  寻找AAA  并且替换成自己的:  这是模板里面的内容:  非常基础的玩意 后门在printf里面,这个printf被人改过:  这里是寻找资源管理器的进程  看参数,应该是注入  不过生成出来的shellcode应该是没带后门的,这一点挺良心 目前作者已经跑路  ### 后续 我一开始以为生成出来的shellcode造物会带毒但是找了一下没发现,想了想 因为这玩意目标是控制红队的C2 红队的C2没了 自然直接控制底下的hvv的机器 而且红队的C2一般没啥防护 如果shellcode生成出来带后门了 目标机器可能会带流量监控啥的,容易暴露 ### 反思 就这个垃圾免杀的代码,star数量都比我的开源项目总和高.... 本文由 huoji 创作,采用 知识共享署名 3.0,可自由转载、引用,但需署名作者且注明文章出处。 点赞 101
111