据传,一场大型多人在线活动即将拉开帷幕,随之而来的是各种针对参与者的‘投毒’计划悄然浮现。
B站up博主一见三连,你是一个项目投三个毒啊!
专门关注哥斯拉相关的项目为了更好的��是么
第一个项目
开始简单过一下吧
https://github.com/dddd-N0ld/PostConfluence.git
难道真的有人会给这种钓鱼项目点上Star✨(那星星之火,小心它悄悄引燃你电脑里的小电影啊!)
报错去不掉?搞不懂? 哥们你不能是编译的时候 故意搞的吧。装?你接着装。
从Releases下载个打包好的
那么当然是先反编译一下 PostConfluencePlugin.jar 然后看一下 文件结构还是很简单的
一看tools.jar 你是真毫不隐藏自己己的意图是吧 ! 看着像base64
那就直接解码咯
publicclassTools {// 浏览器 User-Agent,用于伪装 HTTP 请求privatestatic String TITLE = "Mozilla/5.0 (Windows NT 6.1; Win64; x64; rv:109.0) Gecko/20100101 Firefox/129.70";// 通信密码或用于身份校验的密码privatestatic String PASSWORD = "app";// 用于加密通信内容的 AES 对称密钥(16 字节)privatestatic String SECRET_KEY = "yagd5LXFeY3FNb2C";// C2 控制服务器地址,原始内容经过混淆处理,增加了cf7pHM。去除后解码就是下面了privatestatic String CONTENT = "http://104.36.229.104:443/collect";}
真C2钓鱼是吧 针对红队🎣?
好好好新的混淆又开始了。
真不太想看 还是看看那个class文件吧 怎么又开始Base64了
还是直接看Base64解码完成的代码吧 这个好像是Beichen那个插件的部分代码那就不看了。
项目二
https://github.com/dddd-N0ld/PostConfluenceJAR.git
影不影响使用不知道,但是真不影响你投毒啊!
下载一下吧! 结果SHA1一样,那就不看了。
项目三
后渗透插件?后渗透攻击队是吧 https://github.com/dddd-N0ld/PostJiraPlugin.git
看一下反编译后的目录结构吧 这次文件有点多了啊!
有config.xml 简单居然还有base64编码的配置项目。我们先不看 先看看哪一段代码调用了config.xml
看来主要就是从XmlConfigLoader.java 调用了config
好了我们找到怎么解码了 去掉前五后五的字符
看到这个解码后的代码我只能说,我都以为你变好了。准备发真工具了怎么还是准备🎣呢?看到解码后的代码,我不禁感叹,原本以为有所改进。但看来仍是处于准备阶段,尚未发布实际工具。还好我不是攻击队 我不会用(小声bibi:甚至目前都没工作)
其实整段代码大家去看下就知道主要就是下面这些功能。
| 模块 |
| C2 通信 |
| 动态加载 |
| 文件写入 |
| 信息收集 |
| 持久连接机制 |
| SSL 绕过 |
| 高度隐蔽性 |
其实整体都没啥特别难得地方 甚至全程知道base64就能知道怎么回事了。
主要就是这两个IP作为C2:
206.206.78 190104.36.229 104
还未开始行动就急于实施攻击,似乎过于急躁了。不妨参考2023年某位攻击者采用的隐蔽手法,尽管那并未真正隐藏起来。
观摩学习文章:
https://mp.weixin.qq.com/s/4DkxsENujiYgpaOE071oOg
https://mp.weixin.qq.com/s/89h2UgHhBXAaKAuGC899iw
关注“海王出海了” 年刊,获取更多情报。
原文始发于微信公众号(SafetyTeam):GitHub:dddd-N0ld 投毒(不用脑子分析版)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论