retdec

红队视角看 Sunburst 后门中的 TTPs

元气小坏坏 提交于 2021-01-06 09:22:23
作者:蓝军高级威胁团队@深信服千里目安全实验室 原文链接: https://mp.weixin.qq.com/s/wtEbawfOd1g_T2ovp1SaGg 1.针对SolarWinds供应链攻击简介 最近FireEye披露的UNC2452黑客组织入侵SolarWinds的供应链攻击让安全从业人员印象深刻。一是影响规模大,SolarWinds官方称受影响的客户数量可能有18000家。二是攻击者留下的后门程序-Sunburst,十分隐蔽和具有迷惑性,分析认为攻击者对SolarWinds Orion产品理解程度很深。 有证据表明,早在2019年10月,UNC2452黑客组织就一直在研究通过添加空类来插入代码的能力。因此将恶意代码插入原始SolarWinds.Orion.Core.BusinessLayer.dll的时间可能很早,甚至可能是在软件构建编译之前。这就导致SolarWinds官方无意间对包含4000行恶意代码的DLL进行了数字签名,这样容易让恶意代码提升权限,并且很难被人发现。感染的Origin软件第一个版本是2019.4.5200.9083,在此几个月的时间内,用户通过下载受到感染的产品版本被感染。目前原始dll文件中没有发现存在动态拓展、也不存在横向移动等后渗透阶段的相关能力支持。 2.Sunburst后门总体流程 总体流程图 (Sunburst的供应链攻击各阶段-图源

tu-ctf-2016:re-for-50-plz-50

孤街浪徒 提交于 2020-11-21 04:15:57
下载附件,在Linux中查看。 32位的MIPS平台文件,第一次遇到。 将文件在IDA32中打开。 IDA也提示为MIPS平台的文件。 找到主函数,查看代码。 皆为MIPS平台指令,有点蒙。 接下来可以选择在恶补 MIPS指令 ,也可以安装IDA插件。 这里我选择安装插件。 插件 官网 :https://retdec.com/ 插件和本体的下载地址。 github 下载插件 ,并解压到IDA插件目录(X:\IDA_Pro_v7.0\plugins)里。 接下来安装retdec本体: 1、 下载压缩包 解压。 2、安装python 3.4版本以上。 3、 下载 安装所需的运行环境:Visual C++ Redistributable for Visual Studio 2015 4、在IDA中使用插件,并指定Retdec本体中的py文件。 接下来就可以在IDA反汇编MIPS指令了 反编译结果如下: #include <stdint.h> int32_t exit_funct( void ); int32_t print( void ); int main( int argc, char ** argv) { for (int32_t i = 0 ; i < 31 ; i++ ) { char v1 = *( char *)(i + (int32_t) " cbtcqLUBChERV[