免责声明
由于传播、利用此文章所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,本文作者不为此承担任何责任。切勿用于未授权测试!本文主要来自日常学习记录
简介
从HC样本里面获取的方法,google搜索很早之前就已经有过分析,样本里面是通过NetSarang公司签名的更新程序LiveUpdate.exe 进行攻击,而本文介绍的方法是通过自定义编写一个LiveUpdate.exe 代码。
本文讲的是一种新思路,DLL劫持,DLL是一个PE文件可能被杀,但这个方法它不会,也算是一种LOLBAS吧
思路给了,骚操作可以自由发挥。
相关文章
-
“游蛇”黑产团伙针对国内用户发起的大规模攻击活动分析 -安天
-
黑客团伙伪装成telegram官网分发Gh0st远控木马 -深信服
复现
各大公众号已经发了类似的分析,大概流程如下
DAT的解压密码可以通过IDA分析
定义的恶意代码模版,后面我们也可以用
自定义恶意代码
LiveUpdate.exe 是由indigorose 公司trueupdate工具编译而成,那么就很简单了,下载trueupdate自定义代码
这里一笔带过,其他的可以自己研究,本质是个软件,会用就可以了。
编译后会生成
而这就是我们想要的了,虽然没有签名,但此程序暂时为白程序,这里可以自己打上泄露的签名效果也嘎嘎的。
原文始发于微信公众号(一颗好韭菜):一种新颖的类DLL劫持
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论