APT研究系统安全二进制安全 [2024]黑产组织伪造WindTerm工具官网投放白加黑远控后门 ### 简介 戎码安全公众号发的那个图片太小了,图片也比较模糊,这边发一个偏重技术的并且配上高清图 原来的公众号地址: https://mp.weixin.qq.com/s/hxIih2bJ4lPUGjxJviEahA ### 虚假的官网 截至发文前,在搜索引擎搜索windterm(**无论是国内还是国外的**),极大概率首页前五是银狐伪造的官网windterm:  伪造的页面也基本是之前伪造的finalshell模板:  之前银狐组织伪造的finalshell官网:  ### 技术手法分析 样本静态对杀毒软件做了免杀处理,在VT上只有两个杀毒软件报毒: 阅读全文 2024-04-13 huoji 0 条评论
APT研究二进制安全C/C++汇编 [2022]疑似对红队C2的投毒 2022 6月17日的时候,github上莫名其妙的出现了这个项目:  https://github.com/xiaoma99272/ShellcodeLoader-1/commit/81cdab6a0d9d31a37134cc5b6e265962e88654b2.patch 阅读全文 2022-10-22 huoji 1 条评论
系统安全工具软件二进制安全 [2021]AppDomainManager劫持与powershell hook解码 在红队渗透中,有一种持久化技术经常被使用,那就是AppDomainManager劫持,具体原理本章不再叙述,简单来说,在.net目录新建一个同样文件的.config文件,就可以控制.net的appdomainmanger加载,攻击者往往利用这个特性做后门 ```asp <?xml version="1.0" encoding="utf-8"?> <configuration> <startup> <supportedRuntime version="v4.0" sku=".NETFramework,Version=v4.0"/> </startup> <runtime> <appDomainManagerType value="DomainManager.InjectedDomainManager" /> <appDomainManagerAssembly value="DomainManager, Version=1.0.0.0, Culture=neutral, PublicKeyToken=null" /> </runtime> </configuration> ``` 在安全产品对抗中,安全产品时刻面临着powershell的挑战原因很简单,powershell这玩意,简直是小黑和apt组织狂喜,各种花里胡哨的加密与解密去绕过edr/av,并且微软的amsi接口也各种拉胯,甚至是可以被powershell自己绕过,所以就不能指望微软了,要自己干 -powershell的hook ### 如何获取干净的powershell指令 powershell本质上是基于.net的解释器,在powershell脚本代码执行后,会被编译成il代码继续执行,因此为了解决powershell被混淆的问题,我们需要想办法hook powershell的编译代码,好消息是微软的.net相当于开源,所以很快就能找到这个函数: ```asp System.Management.Automation.CompiledScriptBlockData ```  顺便吐槽一下微软的amsi:  ### 如何hook 在我们劫持了AppDomainManager启动后,我们需要干的第一件事就是监听程序集加载: ```cpp private const BindingFlags anyType = BindingFlags.Static | BindingFlags.Instance | BindingFlags.Public | BindingFlags.NonPublic; private static readonly AssemblyLoadEventHandler HookAssemblyLoadEventHandler = new AssemblyLoadEventHandler(Rm_OnAssemblyLoad); private static void Rm_OnAssemblyLoad(object sender, AssemblyLoadEventArgs args) { string assemblyName = args.LoadedAssembly.GetName().Name; string assemblyFullName = args.LoadedAssembly.Location; if (assemblyName == "System.Management.Automation") { ...这里就是程序集加载事件了 ``` 之后,我们要得到此函数的指针  ```cpp MethodInfo ReallyCompile = targetMethodClass.GetMethod("ReallyCompile", anyType, null, targetMethodType, null); ... RuntimeHelpers.PrepareMethod(ReallyCompile.MethodHandle); ... IntPtr TargetAddress = ReallyCompile.MethodHandle.GetFunctionPointer(); ``` 然后hook他 ```cpp if (!MinHook.InstallHook(TargetAddress, HookAddress, TrampolineAddress)) { throw new ArgumentNullException("[HUOJI] Min Hook Fail"); //仅供测试,一般要return } ``` 至此,我们就hook了powershell并且拿到了正确信息: ```cpp public void HookReallyCompile(bool optimize) { string Code = this.ToString(); Helper.DbgPrint(Code); .... ```  阅读全文 2021-11-22 huoji 0 条评论
APT研究系统安全二进制安全 [2016]CVE 2016 1503分析 [cve-2016-1503 analysis.pdf](https://key08.com/usr/uploads/2021/06/3569149805.pdf) 阅读全文 2021-06-19 huoji 0 条评论
APT研究系统安全二进制安全 [2016]攻击JavaScript引擎 电子书 看这本书的时候,我注意到几点感兴趣的:  看起来2021年4月份的Chrome漏洞中的wasm指针利用技术很早很早就有提及了 包括攻击的手法  2021年4月份的Chrome漏洞的看起来作者看过这本书? [攻击JavaScript引擎.pdf](https://key08.com/usr/uploads/2021/06/3880401134.pdf) 阅读全文 2021-06-19 huoji 0 条评论
