之前在一篇文章里提到过使用编码兼容性问题来绕过一些命令执行的检测。Windows编码是个很大的攻击面,用在免杀方面其实有点大材小用,一个非常棒的资料参考:https://blog.orange.tw/...
使用 rundll32 执行 shellcode 文件
描述基于 HWSyscalls 的 DLL Shellcode 自注入器/运行器,理想情况下被认为是使用 rundll32 执行的。如果受害者端点有权访问攻击者控制的 SMB 共享,则可能授予无文件执...
应急响应 | 基于Lnk钓鱼的样本分析
今日分享一下【赤鸢安全】公众号的一篇文章:【免杀】记一次lnk钓鱼小技巧 文中的视频说到:很难找到我的shellcode!哟呵?激起了我好奇,到底有多难找,毕竟咱们也是玩过一丢丢免杀的,也想...
ATT&CK -
Rundll32 可以调用 rundll32.exe 程序来执行任意二进制文件。由于 Windows 使用 rundll32.exe 进行正常操作时会有白名单或误报,攻击者可以利用此功能来代理代码的执...
『杂项』利用 Windows 白名单免杀
点击蓝字 关注我们日期:2023-10-08作者:Corl7介绍:介绍 3 种常用利用Windows白名单加载payload的方式。0x00 前言学习一下常用的利用Windows白名单加载payloa...
PowerShx 不受软件限制运行Powershell
#############################免责声明:本文仅作收藏学习之用,亦希望大家以遵守《网络安全法》相关法律为前提,切勿用于非法犯罪活动,对于恶意使用造成的损失,和本人及作者无关。...
IcedID僵尸网络滥用谷歌 PPC服务分发恶意软件
关键词IcedID僵尸网络、谷歌 PPC、恶意软件1. 概述在密切跟踪 IcedID 僵尸网络的活动后,趋势科技的研究人员发现其分发方法发生了一些重大变化。自 2022 年 12 月以来, 趋势科技检...
关于利用rundll32执行程序的分析
0x00 前言最近看到了一篇有趣的文章《Abusing Exported Functions and Exposed DCOM Interfaces for Pass-Thru Command Exe...
远控免杀专题(57)-白名单Url.dll执行payload
声明:Tide安全团队原创文章,转载请声明出处!文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途以及盈利等目的,否则后果自行承担!声明:文中所涉及的技术、思路和工...