距離上次寫文章已經有將近三個月了,實在是太忙。這三個月裡大大小小大概打了有五六場 hw。人是累的不行,但是也學到了很多東西。本來是有很多知識點和操作想寫,但東西一多反而又不知道該寫什麼了。
直到翻學習記錄看到有個比較有意思的東西,就分享出來給大家樂一樂
事情是這樣的,那次我被發配去夜班藍隊,半夜紅隊的同事給我發了個文件
據說是紅隊交流群裡有人發的免殺工具,但是因為正在 hw,所以都有一定的懷疑心理,但是確實又需要一個便捷的工具。這就扔給我探探路。
到手先 PEiD,結果沒有信息,頓時有點慌。於是繼續問同事有沒有相關信息,結果問了以後更慌了
什麼蜜汁操作,聽著就有問題
然後翻翻工具包還有啥能用的,找到了 ExeinfoPe,繼續查查底細
妥了,py 打包,這問題就更大了,因為免殺工具我就沒見過 py 寫了之後還打包的。
扔沙箱看看
總體來說沙箱沒測出啥,但是有一項釋放文件標紅了,於是仔細看了下發現了問題
第一個沒記錯的話應該是 vc 庫,這個問題在於常規軟件的依賴庫一般都是由系統提前裝好的,沒聽說過哪家的軟件運行時自己釋放一個依賴文件。
第二個是兩個 py 文件,socket 和 ssl, 雖然這兩很常見而且應該不會有啥問題,但一個免殺工具不應該具有網絡操作。所以這兩看著就比較奇怪了。
有了上面的依據,大概率確認這個 “免殺工具” 是有問題的。實踐是檢驗真理的唯一標準,扔虛擬機裡跑一下,做最後的確認
於是開了個虛擬機,但是把網絡斷掉了,防止是什麼奇怪的蠕蟲。結果斷網這個操作恰好成為了本文的亮點(笑死
扔進虛擬機以後點擊執行,多次點擊並沒有出現 gui,所以換成 cmd 去執行。結果剛打開 cmd 之前點擊的操作生效了。
看起來還有模有樣的,但隨即彈出了報錯
hhhhhhh 笑死
看得出這個異常是因為請求了一個 txt 文件,但是因為我斷了網絡所以連接拋出異常
訪問一下這個站點,是一個 peiqi 文庫,基本確定就是業內人士。再訪問下這個 txt
一堆字符串,base64 解碼一下
基本九成九是 shellcode,遠程分離加載,還是扔到紅隊群。這藍隊兄弟釣的一手好魚
shellcode 分析太麻煩了,直接查下這個 ip
微步捕獲到一個樣本,點擊樣本連接查看
找到了 teamserver
至此整個分析結束
總結:
這是一個針對紅隊的釣魚反制,實施者是個有紅隊經驗的業內人士。用 python 寫出 gui,當用戶打開工具時從 65.49.*** .*** 遠程拉取 txt 文件內容,遠程加載 shellcode 上線到控制服務器 18.179.**.42。因為做了分離,又因為工具本身就是風險工具,所以繞過殺軟的概率不低。一定程度上甚至繞過了沙箱檢測(當然了,畢竟只有個加載器)
整個操作其實都很不錯,唯一的失敗之處就是哥們異常處理沒寫全,導致網絡異常時會拋出異常暴露了自己。
小聲比比:最近確實太忙了,就鴿了這麼久。不過沒問題,畢竟一直以年更作者自居。ai 代審在走專利流程了,不知道能不能過。最近有點新想法,想試試私有化大語言能不能盈利,各個技術點都還在調研,等我財富自由就徹底斷更(滑稽