近期，我们在日常APT狩猎的过程中，关联到一个特殊的MHT文件，巧合的是该文件和公司另外一个团队披露的国产办公软件0day相关联的文档是同一个(同一类)。该恶意样本为MHT格式，鉴于我们对该类型文件缺乏认识，特此总结。

0x01 Execute-Assembly 原理

        在《Cobalt Strike 原理分析》一文中，介绍了内存加载程序集(Assembly)的主要有四步：

• 1> 加载CLR环境
• 2> 获取程序域
• 3> 装载程序集
• 4> 执行程序集

Implant上线分析

      sliver的Implant存在两种工作模式，一种是beacon模式，这是一种异步处理模式，Implant收到指令之后，并不会立即执行，而是等待一段时候之后进行处理。另外一种是session立即处理模式。在https://github.com/BishopFox/sliver/blob/master/implant/sliver/sliver.go的main函数中，分别存在beaconStartup和sessionStartup。beaconStartup对应的是beacon模式，sessionStartup对应的是session模式。

• 本文以Get-InjectedThread脚本为例，概括了检测线程注入的方法
  阅读全文 »

0x1 漏洞描述

      CVE-2018-8120漏洞是一个位于win32k模块中的SetImeInfoEx函数的任意地址覆盖漏洞，漏洞产生的根本原因是没有对tagWINDOWSTATION结构的spklList成员做有效性验证，就对其进行解引用，如果spklList为NUll的话，继而对其进行解引用，导致漏洞触发。

0x01 现成工具

      任务管理器

      procdump:procdump -ma lsass.exe lsass.dmp

      Sharp dump:其核心也是使用MiniDumpWriteDump

      Out-MiniDump:是PowerSploit下的一个转储组件。同理也是使用MiniDumpWriteDump

0x01 Bypass UAC

• https://tttang.com/archive/1715/

• 本文首发于跳跳糖安全社区https://tttang.com/archive/1786/

• 主要记载了常见的Bypass EDR的方法。

0x01 命令和脚本解释器

• powershell
• cmd
• js
• vb(s)
• python