APT研究系统安全二进制安全 [2024]黑产组织伪造WindTerm工具官网投放白加黑远控后门 ### 简介 戎码安全公众号发的那个图片太小了,图片也比较模糊,这边发一个偏重技术的并且配上高清图 原来的公众号地址: https://mp.weixin.qq.com/s/hxIih2bJ4lPUGjxJviEahA ### 虚假的官网 截至发文前,在搜索引擎搜索windterm(**无论是国内还是国外的**),极大概率首页前五是银狐伪造的官网windterm:  伪造的页面也基本是之前伪造的finalshell模板:  之前银狐组织伪造的finalshell官网:  ### 技术手法分析 样本静态对杀毒软件做了免杀处理,在VT上只有两个杀毒软件报毒: 阅读全文 2024-04-13 huoji 0 条评论
系统安全二进制安全C/C++ [2024]愚蠢的windows进程隐藏技术 几年前(4年前?) 在看雪上看到一个驱动壳用了改PID的方法隐藏自己进程,今天看到一个rootkit也在用一样的办法隐藏自己,突然想起来回旋镖打中自己,所以趁自己还没忘记的时候记录一下 这些隐藏自己的进程的原理是, ```cpp EPROCESS->UniqueProcessId ``` 是不受到保护的,可以改成任意进程的 如 ```cpp *(uin64_t)((char*)process + 0x440) = winlogon_pid; 这样你都是进程会是winlogon在任务管理器里面 ``` 另外大部分usermod的API,比如openprocess,在R3是dword,而UniqueProcessId是一个dword64的结构体,也就是说内核可以完美处理64位的东西,R3不能,所以你也可以把要隐藏进程的UniqueProcessId设置为64位的PID. **这样会让你的进程在用户模式下完全不可见** 而内核则很好的兼容 edit: 2020年的时候发过这个方法,不过是线程的 https://key08.com/index.php/2020/11/03/801.html 看雪那个是山总的壳 阅读全文 2024-04-08 huoji 0 条评论
系统安全二进制安全 [2024]麻辣香锅最新变种,劫持svchost.exe还支持lua,crowdstrike也无能为力 麻辣香锅最新的变种通过驱动给这个程序 ```cpp C:\WINDOWS\system32\svchost.exe -k netsvcs -p -s SENS ``` 塞了PE文件,这个PE文件是VMP的,是母体 驱动目的是把全部的流量通过WFP回调发给这个进程,这个进程支持lua lua云下发正则规则去做匹配匹配到了改流量做劫持主页. 还能监控全部的网页历史记录,可能作者服务器不行所以暂时不会上传,**作者要是敢搞,完全可以把浏览器的历史记录全部上传到服务器** 还会**驱动干**各大的杀毒软件,火绒专杀hrkill被重定向到火绒官网. 要是你发现svchost.exe内存里面有PE文件,并且dump出来后发现导出表有个luaopen_llthreads,那就是中了麻辣香锅了 调查过程中发现,crowdstrike论坛也有人反馈cs报这个反射加载但是不知道是什么东西: https://www.reddit.com/r/crowdstrike/comments/105rmr2/keep_access/ **这个就是麻辣香锅** 阅读全文 2024-04-03 huoji 0 条评论
系统安全 [2024]简单分析一下火绒为什么误报explorer.exe ### 免责声明 刚收假回来,花了五分钟看的, 没细看,说的不一定对,需要等待后续报告。 ### 前言 在win10 20h2的一次更新中。火绒误杀了windows的explorer组件:  本来不想蹭这个热度的,但是热度太高 ,刚收假回来,准备练练手。 这个是误报的explorer: https://www.virustotal.com/gui/file/06d066fe672f18faba41dd5787dbfc3991744dc4c17a3bb3d8154aceadbd66fb/detection 火绒的规则报的是avkiller,根据本人第一直觉,应该是匹配到了杀毒软件字符串,所以我们打开IDA,把有问题的explorer拖进去 阅读全文 2024-02-19 huoji 0 条评论
系统安全C/C++一线开发 [2023]阻止window hook exploit meme 对于安全软件 自己的窗口往往成为最容易被攻击的目标.如window hook exploit这种windows癌症设计引起的问题,理论上,**应该所有的窗口程序都应该这样做从而缓解自己不被攻击** 解决的方法很简单: 1. 给自己设置CFG保护(必选) 2. 使用VEH监控stack overflow事件(可选) 3. hook kedispatchtable,监控win32k的callback function(某些反作弊是这样做的) 4. hook dispatchuserapcroutine,监控来自其他进程的apc,因为最终所谓的peekmeesage都是插入APC(某些反作弊是这样做的) 阅读全文 2023-12-30 huoji 1 条评论
APT研究系统安全二进制安全 [2023]How did I discover a completely unmarked threat within five minutes through EDR > In daily EDR operation and maintenance, we have discovered an abnormal situation, but we cannot immediately determine it because all known databases cannot match this abnormal situation # At the Begin In daily operations and maintenance, we have found that EDR rarely reports suspicious activities, which generally do not occur on a completely unknown program except for a few rogue software: 阅读全文 2023-11-02 huoji 0 条评论
系统安全C/C++ [2018]在 Windows 10 上 WriteProcessMemory 比 NtWriteVirtualMemory 慢很多 WriteProcessMemory 不仅仅是一个NT包装函数,它还执行一些额外的工作(例如保护内存、刷新指令等) 通过逆向WPM 调用 NtQueryVirtualMemory 来确定我们正在写入的区域中页面的访问保护。如果访问保护不是正确的,WPM 将设置 ACCESS_VIOLATION 错误代码并返回(如果访问保护是 PAGE_NOACCES 或 PAGE_READONLY)。 如果没有,它会调用 NtProtectVirtualMemory 设置适当的访问保护。检查之后,函数调用 NtWriteVirtualMemory 和 NtFlushInstructionCache,对它们进行更多检查,然后返回。 这就是为什么慢的原因 阅读全文 2023-09-10 huoji 0 条评论
