火绒1024版win10安装不了
概述
由于foreign协议和beacon协议生成的样本解码方式相同,只是后续请求的方式不同,这里将不再分开介绍,仅聚焦于beacon类型的样本。
HTML Application
这三种类型样本的主要区别在于它们如何在hta文件中嵌入有效载荷。
Executable类型会在hta文件中内嵌一个PE文件。
Powershell类型会在hta文件中内嵌一段Powershell代码。
VBA类型会在hta文件中内嵌一段VBA代码。
Beacon_Executable样本分析
该类样本主要是创建一个包含VBScript的hta文件。在VBScript中,有一个硬编码的PE脚本,该脚本会在末尾将shellcode写入到evil_pe.exe中,并通过Wscript.Shell加载执行。
可以将这部分的shellcode提取出来,保存为exe文件进行分析。
Powershell样本分析
相比之下,Powershell类型的hta内嵌的shellcode体积要小很多。
该段Powershell代码主要用于解密并执行中间一段base64编码的代码。中间的代码解码后,依旧是一段用于解码执行base64编码的指令。不同的是,此次解码出来的将是一个数据流,后续会进行解压缩执行。
VBA样本分析
内嵌VBA代码的hta相比前两类更为复杂。
VBA类的hta主要通过VBScript创建一个excel对象,并填充恶意宏代码执行。
代码首先通过CreateBoject创建一个Excel.Application对象,并更改其可见属性为False。接着程序创建一个WscriptShell对象用于操作注册表,主要是添加宏的安全属性。
准备工作完成后,程序会给Excel对象添加工作表,并将宏代码填充进去。最后通过Auto_Open方法调用宏。
可以直接在Excel中创建一个宏对象,将hat文件中的宏代码导入进行调试。
Payload分析
其中,C、C、JA、Perl、Python、Ruby、VBA等类型的Payload都是硬编码的shellcode。这些shellcode之前已经出现过多次。攻击者可以编写任意的加载器,将这段buf加载到内存中执行。
COM组件的sct文件与HTML APPlication的VBA类似,也是创建一个excel对象将预定义的宏代码写入执行。
Powershell类型的Payload与hta类型的Powershell解码出来的指令保持一致。
Powershell_cmd类型的Payload会直接生成一行可执行的Powershell指令,该指令用于执行一段base64编码的指令。该段base64解码后还是一段Powershell指令,用于执行压缩后的shellcode。
Veil框架介绍
安装Veil后,通过配置可进入Veil界面。Veil主要包含Evasion和Ordnance两个免杀工具。其中Evasion用于文件免杀,Ordnance可生成Veil的Shellcode。
解读源代码中的payload生成逻辑:深入理解C语言代码结构
让我们深入了解源代码中名为use5.exe.c的payload生成的C语言代码逻辑。我们将逐块解读并分析这些代码的含义。首先是预处理部分:格式化后的完整代码如下所示。
首先定义了一些Windows平台的宏和包含了一些必要的头文件。接下来定义了一些函数,这些函数用于字符串操作和网络通信等任务。接下来我们逐一分析这些函数的作用。
其中有一个函数HTzuNvhCcP用于对输入的字符串进行某种转换处理,将字符串长度翻倍并填充到新的字符串中。另一个函数OySGHDw则是将字符串进行反转操作。函数xDEADohLQOWAzHd用于计算字符串中所有字符的ASCII码总和并取模运算得到结果。函数MzItUPnp初始化Winsock库以便进行网络通信操作。而函数OZNtVHUJ通过拼接两个字符串并反转得到新的字符串结果。函数MxzrqhwCGD用于关闭socket连接并清理Winsock库资源。函数ezkJzCUX用于查找特定字符在字符串中的位置。函数XqleexaJmujm生成随机字符串,用于后续的请求协议中。函数UQVVQa将字符串转换为大写后再转回小写形式。最后函数rGEiHkVJYjGbir用于创建socket连接并连接到指定IP和端口上。
在main函数中,首先进行了一些内存分配操作,然后调用MzItUPnp初始化Winsock库。接着创建了一个socket连接并发送一个GET请求到指定的IP和端口上,该请求的URL部分是由XqleexaJmujm生成的随机字符串。然后等待服务器的响应,并将响应数据存储到分配的内存空间中。接下来对响应数据进行处理,包括复制和分配内存等操作。最后关闭socket连接并清理Winsock库资源,并执行一些额外的操作如查找特定字符串和执行特定代码等。关于Veil生成的meterpreter的部分,将在后续文章中详细分析。这段代码涉及到了网络通信、字符串操作、内存管理等关键技术的运用,展示了C语言在底层编程中的强大能力。
