HW前期之远控木马免杀技术分析
2020-06-23 17:03:21 Author: bbs.pediy.com(查看原文) 阅读量:632 收藏

jishuzhain

雪    币: 11742

活跃值: 活跃值 (160)

能力值:

( LV8,RANK:370 )

在线值:

[原创]HW前期之远控木马免杀技术分析

21小时前 213

每年的活动又要开始了呀,无意在网上冲浪的时候发现了这个马,估计是攻击队留下的痕迹,前期做准备的,感觉这样很有趣,在攻防中不断成长呢!

之前(https://bbs.pediy.com/thread-259976.htm)有对整体样本进行过分析,有兴趣可以自行访问阅读,这里则对涉及的免杀技巧进行探究。使用了.NET平台,C#编写的外壳程序,如下。

text解密出的内容实质还是一个PE文件,也是基于.NET平台的。

分配一段可执行内存,新建线程执行该段内容。

array字节数组实质内容为meterpreter后门生成的内容或者是Cobalt Strike(果然CS是人手一份),经过作者实现的加密(异或),全程通信采用HTTPS,类似Reverse HTTPS后门,采用类似模板生成的方式,因为payload内容是可变的,而母体部分仅仅是加载器。

刚开始免杀效果还可以,如下。

微软对C#恶意文件检测是很深入的,毕竟是自家产品,嘿嘿,要免杀还需下些功夫。

后续探究时静态查杀检测率并不高,如下。

[培训]《安卓高级研修班(网课)》9月班开始招生!挑战极限、工资翻倍!


文章来源: https://bbs.pediy.com/thread-260234.htm
如有侵权请联系:admin#unsafe.sh