[2024]麻辣香锅最新变种,劫持svchost.exe还支持lua,crowdstrike也无能为力 huoji 麻辣香锅 2024-04-03 154 次浏览 0 次点赞 麻辣香锅最新的变种通过驱动给这个程序 ```cpp C:\WINDOWS\system32\svchost.exe -k netsvcs -p -s SENS ``` 塞了PE文件,这个PE文件是VMP的,是母体 驱动目的是把全部的流量通过WFP回调发给这个进程,这个进程支持lua lua云下发正则规则去做匹配匹配到了改流量做劫持主页. 还能监控全部的网页历史记录,可能作者服务器不行所以暂时不会上传,**作者要是敢搞,完全可以把浏览器的历史记录全部上传到服务器** 还会**驱动干**各大的杀毒软件,火绒专杀hrkill被重定向到火绒官网. 要是你发现svchost.exe内存里面有PE文件,并且dump出来后发现导出表有个luaopen_llthreads,那就是中了麻辣香锅了 调查过程中发现,crowdstrike论坛也有人反馈cs报这个反射加载但是不知道是什么东西: https://www.reddit.com/r/crowdstrike/comments/105rmr2/keep_access/ **这个就是麻辣香锅** 本文由 huoji 创作,采用 知识共享署名 3.0,可自由转载、引用,但需署名作者且注明文章出处。 点赞 0
还不快抢沙发