virustotal

0x00 前言 最近做了一道18年swpuctf的题，分析了一个病毒，正巧都用到了傀儡进程，就想着把傀儡进程学习一下。本文权当个人的学习总结了一些网上的文章，如有错误，还请路过的大佬斧正。 0x01 SWPUCTF -- GAME 进入main函数 先获取当前目录，再拼上GAME.EXE 进入sub_4011D0 首先寻找资源，做准备工作，进入sub_4012C0 1）检测PE结构 2） CreateProcessA 创建进程 3）GetThreadContext 得到进程上下文信息，用于下文计算基地址 4）sub_4016F0 到ntdll.dll里找到NtUnmapViewOfSection函数 5）VirtualAllocEx 跨进程，在目标进程申请空间 6）写入文件 7）SetThreadContext 恢复现场 8） 运行傀儡进程 我们来找找注入的程序 把GAME.EXE载入到010editor里，搜索"MZ" dump出来，就是刚刚注入到傀儡进程的程序了。 我们把它命名为 game2.exe 载到IDA里分析 发现是D3D绘制 之后的解题与本文关系不大，这里直接把官方的WP搬运来了 https://www.anquanke.com/post/id/168338#h3-16 通过字符串[Enter]可以跟踪到获取输入以及返回上一层的地 这里用了’ –

系统安全绕不开PE文件，PE文件又与恶意样本检测及分析紧密相关。前文作者带领大家逆向分析两个CrackMe程序，包括逆向分析和源码还原。这篇文章主要介绍了PE文件基础知识及恶意样本检测的三种处理知识，手动编写代码实现了提取IAT表、二进制转字符串及获取PE文件时间戳，这是恶意样本分析和溯源至关重要的基础，并且网络上还没见到同时涵盖这三个功能且详细的文章，希望对您有所帮助。术路上哪有享乐，为了提升安全能力，别抱怨，干就对了~ 同时，PE文件基础知识推荐作者另一个安全系列： [网络安全自学篇] PE文件逆向之PE文件解析、PE编辑工具使用和PE结构修改 [网络安全自学篇] PE文件逆向之数字签名解析及Signcode、PEView、010Editor等工具用法 [网络安全自学篇] Windows PE病毒原理、分类及感染方式详解 从2019年7月开始，我来到了一个陌生的专业——网络空间安全。初入安全领域，是非常痛苦和难受的，要学的东西太多、涉及面太广，但好在自己通过分享100篇“网络安全自学”系列文章，艰难前行着。感恩这一年相识、相知、相趣的安全大佬和朋友们，如果写得不好或不足之处，还请大家海涵！ 接下来我将开启新的安全系列，叫“安全攻防进阶篇”，也是免费的100篇文章，作者将更加深入的去研究恶意样本分析、逆向分析、内网渗透、网络攻防实战等

网络安全研究人员今天发现了一种完全无法被检测到的Linux恶意软件，该恶意软件利用未公开的技术来监视并瞄准以流行的云平台（包括AWS，Azure和阿里云）托管的可公开访问的Docker服务器。 Docker是一种流行的针对Linux和Windows的平台即服务（PaaS）解决方案，旨在使开发人员更容易在松散隔离的环境（称为容器）中创建，测试和运行其应用程序。 根据Intezer 与The Hacker News 共享的最新研究，正在进行的Ngrok挖矿僵尸网络活动正在Internet上扫描配置不正确的Docker API端点，并且已经用新的恶意软件感染了许多易受***的服务器。 尽管Ngrok采矿僵尸网络在过去两年中一直活跃，但新活动主要集中在控制配置错误的Docker服务器，并利用它们在受害者的基础架构上运行带有加密矿工的恶意容器。 这种新的多线程恶意软件被称为“ Doki ”，它利用“一种无记录的方法，以一种独特的方式滥用狗狗币加密货币区块链来联系其运营商，以便尽管在VirusTotal中公开提供了示例，也可以动态生成其C2域地址。” 据研究人员称，该恶意软件： 设计用于执行从其操作员接收到的命令， 使用Dogecoin加密货币区块浏览器实时动态生成其C2域， 使用embedTLS库进行加密功能和网络通信， 制作寿命短的唯一URL，并在***过程中使用它们下载有效负载。

2019-2020-2 网络对抗技术 20174326旦增列措 EXP3 免杀原理与实践 1.实验环境 PC机一台，安装有win10系统 ，作为靶机进行实测 安装的kali虚拟机，作为攻击机 kali虚拟机安装有veil-evasion win10系统有windows Defender作为杀软. 检测网站是VirusTotal 实验准备即相关知识 VirusTotal、Virscan 集成了60多个商业杀毒软件的扫描引擎。可以上传免杀处理过的程序进行检测。 链接如下： VirusTotal Virscan Msfvenom使用编码器 Msfvenom是Metasploit平台下用来编码payloads免杀的工具。 模板是msfvenom用来生成最终Exe的那个壳子exe文件，msfvenom会以固定的模板生成exe，所有它生成的exe，如果使用默认参数或模板，也有一定的固定特征。 Veil-Evasion Veil-Evasion是一个免杀平台，与Metasploit有点类似，在Kalil软件库中有，但默认没装。 C语言调用Shellcode 就是一个半手工打造恶意软件的例子。 加壳 加壳的全称应该是可执行程序资源压缩，压缩后的程序可以直接运行。 加壳的另一种常用的方式是在二进制的程序中植入一段代码，在运行的时候优先取得程序的控制权，之后再把控制权交还给原始代码

系统安全绕不开PE文件，PE文件又与恶意样本检测及分析紧密相关。前文作者带领大家逆向分析两个CrackMe程序，包括逆向分析和源码还原。这篇文章主要介绍了PE文件基础知识及恶意样本检测的三种处理知识，手动编写代码实现了提取IAT表、二进制转字符串及获取PE文件时间戳，这是恶意样本分析和溯源至关重要的基础，并且网络上还没见到同时涵盖这三个功能且详细的文章，希望对您有所帮助。术路上哪有享乐，为了提升安全能力，别抱怨，干就对了~ 同时，PE文件基础知识推荐作者另一个安全系列： [网络安全自学篇] PE文件逆向之PE文件解析、PE编辑工具使用和PE结构修改 [网络安全自学篇] PE文件逆向之数字签名解析及Signcode、PEView、010Editor等工具用法 [网络安全自学篇] Windows PE病毒原理、分类及感染方式详解 从2019年7月开始，我来到了一个陌生的专业——网络空间安全。初入安全领域，是非常痛苦和难受的，要学的东西太多、涉及面太广，但好在自己通过分享100篇“网络安全自学”系列文章，艰难前行着。感恩这一年相识、相知、相趣的安全大佬和朋友们，如果写得不好或不足之处，还请大家海涵！ 接下来我将开启新的安全系列，叫“安全攻防进阶篇”，也是免费的100篇文章，作者将更加深入的去研究恶意样本分析、逆向分析、内网渗透、网络攻防实战等

基于API调用行为的二进制通用脱壳方法 注：本人去年参赛的作品，欢迎大家对不足之处提出宝贵的意见，谢谢。 完整图文论文请看我的另一篇博客： https://blog.csdn.net/ITxiaoangzai/article/details/106156192 摘要 加壳技术被广泛应用于恶意代码的自我保护，用于对抗躲避反病毒软件的检测，使得反病毒软件检测率大大降低。所以设计一个能够自动化的通用脱壳系统具有重要的理论和现实意义。 基于上述动机，本文设计和实现了基于API调用行为的二进制通用脱壳系统。本系统利用加壳代码"先重建后调用"的API调用行为特征进行脱壳。整个系统采用B/S架构模式。Browser端负责上传样本到Server端以及向用户反馈分析结果；Server端接收样本后，在沙盒环境中动态运行，通过监控"先重建后调用"的API调用行为特征进行动态脱壳。 本文实现了原型系统VirusMore()。实验结果表明，VirusMore能广泛用于不同的软件壳并进行成功脱壳，提高反病毒软件检测恶意代码的准确率和降低对正常程序的误报率。 第一章 作品概述 1.1 背景分析 伴随着信息技术的不断发展，网络给人们带来便利的同时，网络安全威胁问题也日益突出，网络安全风险不断向政治、经济、文化、社会、生态和国防等各个领域传导渗透。据CNCERT抽样监测，2018年

近日，在 Black Hat USA 2020 安全大会上，黑莓公司开源了其逆向工程 PE 文件的工具 PE Tree。这是一款基于 Python 的应用程序，适用于 Linux、Mac、Windows 系统，可用于逆向工程和分析 Portable Executable（PE）文件的内部结构。 所谓 PE 文件，意为可移植的可执行的文件，常被黑客用来隐藏恶意负载的常见文件类型。 目前，该源代码采用 Apache License 2.0 许可证，发布在 GitHub： https://github.com/blackberry/pe_tree 上。 对此，黑莓公司表示：“恶意软件的逆向工程是一个非常耗时且费力的过程，可能涉及数小时的反汇编甚至是解构软件程序的过程。” 时下，BlackBerry Research and Intelligence 团队正在将最初开发且仅供内部使用的开源工具 PE Tree 对外开放，而此开源软件具有诸多的优势： 以易于浏览的树状视图列出 PE 文件内容 集成 IDA Pro 反编译器 集成 VirusTotal 搜索 可以将数据发送到 CyberChef 可以作为独立应用程序或 IDAPython 插件运行 开源许可证允许社区捐款 同时，这款工具也是 PE-bear 的替代产品。另外，PE Tree 的开源还标志着最新的网络安全工具进入开源领域

原文： LOLSnif – Tracking Another Ursnif-Based Targeted Campaign 译者：知道创宇404实验室翻译组 工具泄露是网络安全中非常有趣的事件。一方面泄露的工具在被熟知且进行分析后，会对原有的文件造成某种意义的破坏，另一方面其内容将会被传入到较低版本的工具当中。本文将会对Ursnif的新版本进行了详细分析。 由于恶意软件的存在，源代码泄露情况很普遍。2017年，代码“ Eternal Blue”（CVE-2017-0144）遭泄露并被黑客入侵，而早在2010年银行木马Zeus的泄露就已经形成了恶意软件新格局，该木马的源代码在泄露后，出现了与该银行木马相同的代码库。本文我将重点介绍源代码在2014年就被泄露的系列事件，这个系列被称为Ursnif（也称为Gozi2 / ISFB），Ursnif是成熟的银行木马，而关于该系列的研究也有很多。 本文中我对Ursnif的最新变体进行了分析，发现它利用LOLBins、组件对象模型（COM）接口等技术来检测Internet Explorer，借此绕过本地代理以及Windows Management Instrumentation（WMI）来与操作系统进行交互，达到代替本地Win32 API的效果，该操作很难被检测到。 该变体已被重新用作侦察工具和下载器，在打击网络犯罪攻击活动中有着重要意义。于

科技媒体ZDNET报道， 黑莓 在Black Hat USA 2020 安全 大会上开源了逆向工程工具PE Tree。遵守Apache开源协议。基于Python编写，可运行于Linux，Mac和Windows。PE Tree可用于逆向工程和分析Portable Executable(PE)文件的内部结构。 黑莓 表示，逆向工程是一个极端的耗费时间和劳动密集过程，需要数小时的反汇编，有时候还需要重建软件程序。黑莓技术团队开源PE Tree将有益于恶意软件逆向工程社区。 特性： 以易于浏览的树状视图列出PE文件内容; 与IDA Pro反编译器集成(轻松导航PE结构，转储内存中的PE文件，执行导入重建); VirusTotal搜索集成; 可以将数据发送到Cyber​​Chef; 可以作为独立应用程序或IDAPython插件运行。 报道原文：https://www.zdnet.com/article/blackberry-releases-new-security-tool-for-reverse-engineering-pe-files/ 相关文件下载地址 本地直接下载 来源： oschina 链接： https://my.oschina.net/u/4254929/blog/4470049

原文链接： Watch Your Containers: Doki Infecting Docker Servers in the Cloud 译者：知道创宇404实验组翻译组 主要发现 Ngrok Mining Botnet是一个活跃的活动，目标是AWS、Azure和其他云平台中公开的Docker服务器，它已经活跃了至少两年。 我们检测到了最近的一次攻击，其中包括使用区块链钱包生成C＆C域名的完全未检测到的Linux恶意软件和以前未记录的技术。 任何具有公开开放的Docker API访问权限的人都有可能在短短几个小时内被黑客入侵。这很可能是由于黑客对脆弱的受害者进行了自动且连续的全互联网扫描所致。 自2020年1月14日首次分析以来，VirusTotal的60个恶意软件检测引擎中尚未检测到被称为“ Doki ”的新恶意软件。 攻击者正在使用受感染的受害者搜索其他易受攻击的云服务器。 介绍 Linux威胁变得越来越普遍。造成这种情况的一个因素是，对云环境的转移和依赖日益增加，而云环境主要基于Linux基础架构。因此，攻击者已经采用了专门为此基础结构设计的新工具和技术。 一种流行的技术是滥用配置错误的Docker API端口，攻击者在其中扫描可公开访问的Docker服务器，并利用它们来设置自己的容器并在受害者的基础设施上执行恶意软件。 Ngrok僵尸网络是利用Docker