Cobalt Strike样本的字符串特征
字符串 MSSE-%d-server 模式.
rdata头部的管道名格式:%c%c%c%c%c%c%c%c%cMSSE-%d-server
https://www.anquanke.com/post/id/228123#h2-6https://blog.nviso.eu/2021/04/26/anatomy-of-cobalt-strike-dll-stagers/
vscode vue 自动格式化
教程开始第一步,先打开vscode软件,方便快捷的方式就直接使用快捷键ctrl+,(是ctrl加逗号)唤出快速搜索条界面。
第二步,接下来先设定自动保存文件,搜索框贴入files.autoSave筛出设置项,并把设置项属性选择为onFocuschange。
第三步,设定编辑器默认代码格式化(美化)的插件为Prettier,同理在搜索设置框贴入editor.defaultFormatter,将配置项选择为Prettier。
第四步,设定Prettier插件保存时自动格式化代码,搜索设置项贴入editor.formatOnSave,将如下图所示的选项框打钩即可。
注意,注意,注意这样的效果是全局的,会使所有的文件都用这格式化,如果开启了其他项目,容易格式化冲突,打开你的setting.json,找到刚才的编辑设置,如下
1"editor.defaultFormatter": "esbenp.prettier-vscode"
修改为
123"[vue]": { "editor.defaultForma ...
Hive勒索病毒样本分析报告
概述
Hive勒索病毒家族于2021年6月被首次发现,之后也保持着非常活跃的攻击趋势。同时hive也对自身进行了多次的版本更迭。本次样本为Rust语言的变异版本。 该hive病毒样本同样采用了非对称+对称算法的加密方案,但是在文件加密阶段使用的对称加密算法有别于主流加密方式。Hive在加密文件时并未采用标准的对称加密算法,如AES、DES、salsa20、RC4等,而是使用了自定义的流加密方式。
名词解释
该样本隶属于 Hive 家族。Hive家族通常通过钓鱼邮件,远程桌面协议,漏洞利用进行攻击。相关攻击工具:Cobalt Strike、Coroxy、ConnectWise Automate 端点管理漏洞等
相关文件(IoCs)
windows_x64_encrypt.exe:样本主程序MD5: 109652cfb3*9cdc0e4SHA1: 8c315_*_7d2519d70485965c5fSHA256: dac0e015c3669dcec**bd7fee51e87f193016ae529
样本危害
a. 重要文件无法读取b. 关键数据被损坏c. 被感染者需要通过缴纳高额赎金 ...
更好的ShellCode编写方式
前言在我们日常编程中,有可能为的只是一个函数的调用的情况,导致我们需要写一个DLL注入到目标进程中。就笔者个人而言,笔者更喜欢集成在一个EXE中。所以这个时候最好的解决方式就是ShellCode。而外面已有的Shellcode编写大部分都是最终生成二进制数据,我个人认为是比较麻烦的。所以这里我带来了一个另类思路。
编写方式1、构造一个结构体,里面用来填充ShellCode所需要内容。切记禁止有需要间接访问的内容。
12345678using MessageBoxW_t = INT(WINAPI*)(_In_opt_ HWND hWnd, _In_opt_ LPCWSTR lpText, _In_opt_ LPCWSTR lpCaption, _In_ UINT uType);struct ShellCodeInfo { MessageBoxW_t MessageBoxW; const wchar_t* szText; const wchar_t* szCaption; UINT uType;};
2、组装参数并把结构体写入到目标进程中
12 ...
html支持1password的自动填充方式
前言由于近些年来,个人隐私数据的泄露,弱密码爆破等种种原因。笔者采用了1password来保存自身密码【谷歌浏览器的保存密码会被木马轻易偷取!!!】,而再编写网页的时候发现他不会在我的页面自动输入两步验证的密码,在别人的网站里却可以使用。通过笔者的一番查阅,其实支持1password自动填充很简单,那么具体怎么写请看下文。
解决办法在input框中设置autocomplete属性,设置属性autocomplete为off的话貌似1password会根据自身判定来决定该字段是否重要,从而决定是否自动填充。那么我们将autocomplete属性设置为非off,告诉1password该字段重要即可。
例如我们需要1password帮我们自动填充两步验证的一次性密码可以对autocomplete属性设置如下内容
1234567<el-input v-model.number="loginFormData.code" placeholder="请输入两步验证码" autocomplete="one-time-code"> ...
Phobos勒索病毒样本分析
概述
该样本隶属于Phobos家族。Phobos家族通常通过RDP暴力破解+人工投放的方式进行攻击。
攻击者成功入侵后,通常会关闭系统的安全软件防护功能,运行勒索病毒,加密后会修改文件后缀为<原文件名>+<原文件后缀名>+<勒索信中的个人ID>+<联系邮箱>+<.Devos>,目前该勒索无法解密。
相关文件(IoCs)
该样本为公司样本,故不提供相关特征。
传播方式
Phobos家族通常通过RDP暴力破解+人工投放+钓鱼邮件的方式进行攻击。
行为分析删除卷影拷贝以避免系统恢复123456vssadmin delete shadows /all /quietwmic shadowcopy deletebcdedit /set {default} bootstatuspolicy ignoreallfailuresbcdedit /set {default} recoveryenabled nowbadmin delete catalog -quietexit
禁用Windows防火墙1 ...
DLL模块隐藏技术[x86/x64]
原理利用PE结构,将模块从链表中摘除,注意该方法只适用于R3,R0还是有办法看到的。
代码注意:代码为64位,32位道理一样,需要稍微改改?之前的代码了忘了支不支持32位了~
HideDll.h1234567891011121314151617181920212223242526272829303132333435363738394041424344454647484950515253545556575859606162636465666768697071727374757677787980818283848586878889909192939495969798991001011021031041051061071081091101111121131141151161171181191201211221231241251261271281291301311321331341351361371381391401411421431441451461471481491501511521531541551561571581591601611621631641651661671681691701 ...
QQtea加密函数寻找思路
前言在入门逆向这个行业之前,曾经以最低效的方法研究了QQ协议。在研究QQ协议的人们都知道有一个加密的函数,阻挡了抓包分析的道路。因为这个加密函数致使我们必须hook才能解开封包。而那个时候的我只能祈祷大佬们给我用用他们的工具。而通过深入学习逆向后,决定对这个函数正式开刀。
视频教程
第一步:思考如何使用加密解密函数首先我们需要站在开发的角度去思考,如果是我,我会如何使用加密/解密函数对数据包进行处理呢。那么我大概归为以下几个步骤。
加密
获取数据
组装明文数据
调用加密call进行数据加密
调用send/sendto发送密文封包
解密
调用recv/recvfrom函数接收封包
调用解密call对密文解密
处理解密后数据
第二步:分析思路分析方法很简单且普通,就是一个方法。利用栈回溯即可。一步一步分析他是从哪个函数得到了密文/明文。
这里我更推荐从解密call寻找,通过前辈们的经验告诉我们加密call和解密call是相邻的两个函数,那么我们找到其中一个另一个自然就能得到。
这里笔者建议从解密call入手比较方便,因为通过抓包器或者 ...
凌哥脚本软件
前言之前一直使用罗技的游戏软件来使用鼠标宏功能,但是貌似这玩意蓝我屏。霉办法,自己整一个咯。
界面
下载地址https://www.lanzoui.com/i750I0gha06f
问题反馈如果你使用本软件过程中遇见了什么BUG,请通过博客留言反馈给我。