- 本文主要总结了几种不太常见的高级注入技术
- Module Stomping(LoadLibrary)
- Module Stomping(NtMapViewOfSection)
- AtomBombing
- Process Hollowing
- Process Doppelgänging
- Transacted Hollowing
- Process Ghosting等
CVE-2015-2546内核提权漏洞分析
CVE-2014-4113内核提权漏洞分析
CobaltStrike Beacon生成原理分析
0x00 前言与背景
本文没有什么创新,只是在学习beacon生成和调试分析和检测beacon的过程中的一些记录。本文首发于跳跳糖安全社区(https://tttang.com/archive/1631/)
SysWhispers2Demo 简介
0x00 项目简介
SysWhispers2Demo是通过逆向分析kernel32.dll或者kernelbase.dll文件,从而仿写部分Win32 API的实现逻辑,以解决部分SysWhispers2使用者在利用SysWhispers2做EDR规避时候所遇到的开发困难。SysWhispers2Demo在仿写Win32 API的时候,部分采用最小开发原则,即部分参数需要使用微软API文档所约定的默认参数,以减轻仿写的工作量。项目地址:https://github.com/findream/SysWhispers2Demo
绿盟科技-每周蓝军技术推送(2022.5.28-6.2)学习
0x00 绿盟科技-每周蓝军技术推送(2022.5.28-6.2)
- 原文链接:每周蓝军技术推送(2022.5.28-6.2
- 这一周的内容推送主要是一些工具推荐
- 释放UDRL(用户定义反射加载器)内存的BOF
- 基于低熵的香农编码隐藏shellcode
- Cobalt Strike Beacon 的用户定义反射加载器,伪造线程起始地址并在执行入口点后释放
- C# 编写的 COM 劫持持久化辅助工具
绿盟科技-每周蓝军技术推送(2022.5.14-5.20)学习
CobaltStrike高免杀样本分析
0x00 背景
近期,在狩猎中,捕获到一批高度免杀的CobaltStrike样本,经过分析,目前这些免杀样本具备以下几种特征,第一,不在拘泥于传统的C++作为编程语言,也会采用C#或者Golang,或者脚本语言也会在整个攻击链中使用不同的语言,使用C++可能对使用者的要求有所提高,但是免杀效果可能更好。第二,对于shellcode的加密方式,不在拘泥于传统的异或或者AES,Base等公开的加密编码算法,也会采用一些好玩的,个性化的编码算法进行shellcode加密。第三,在开辟内存空间的时候,也不在使用传统的VirtualAlloc等R3层的API函数,更多的使用基于底层的API函数,第四,在调用shellcode过程中,也不像往常一样使用常规的方式调用shellcode,而是利用一些API的机制(CreateThread),或者回调机制(EnumSystemLocalesW),以及APC。