1
母体部分
每年的活动又要开始了呀,无意在网上冲浪的时候发现了这个马,估计是攻击队留下的痕迹,前期做准备的,感觉这样很有趣,在攻防中不断成长呢!
之后(https://bbs.pediy.com/thread-259976.htm)有对整体样本进行过分析,有兴趣可以自行访问阅读,这里则对涉及的免杀技巧进行探究。使用了.NET平台,C#编写的外壳程序,如下。
2
核心部分
text解密出的内容实质还是一个PE文件,也是基于.NET平台的。
分配一段可执行内存,新建线程执行该段内容。
3
探究部分
array字节数组实质内容为meterpreter后门生成的内容或者是Cobalt Strike(果然CS是人手一份),经过作者实现的加密(异或),全程通信采用HTTPS,类似Reverse HTTPS后门,采用类似模板生成的方式,因为payload内容是可变的,而母体部分仅仅是加载器。
刚开始免杀效果还可以,如下。
微软对C#恶意文件检测是很深入的,毕竟是自家产品,嘿嘿,要免杀还需下些功夫。
静态查杀检测率并不高,如下。
原文始发于微信公众号(OnionSec):HW前期之远控木马免杀技术分析
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论