首页
学习
活动
专区
工具
TVP
发布
精选内容/技术社群/优惠产品,尽在小程序
立即前往

新型在野远控木马Woody RAT,针对俄罗斯航空航天组织

在初始化前,恶意软件通过以 0x8007 作为参数调用 SetErrorMode 来有效地屏蔽所有错误报告。 Cookie Woody RAT 使用 HTTP 与 C&C 服务器进行通信。...恶意软件在运行时通过生成 32 字节随机获取 AES-CBC 密钥,使用 RSA-4096 算法对这 32 字节加密回传 C&C 服务器。...C&C命令 恶意软件使用一个特定线程与 C&C 服务器通信,并使用另一个线程来执行从 C&C 服务器接收到命令。为了保持线程同步,恶意软件利用事件互斥锁。...UPPR:在失陷主机下载文件并执行(UPLD + PROC) SDEL:删除失陷主机文件 _DIR:列出指定目录所有文件与属性(文件名、类型、所有者、创建时间上次访问时间上次写入时间、大小、权限...WoodySharpExecutor 支持恶意软件运行从 C&C 服务器接收 .NET 代码, WoodyPowerSession 支持恶意软件执行从 C&C 服务器接收 PowerShell 命令脚本

89130

StripedFly:揭开恶意软件常年隐身秘密

这种架构方法是APT恶意软件标志,每个模块负责实现注册回调函数,该回调函数在与C2服务器连接建立或脱机时触发,或者在从C2服务器接收消息触发。这些模块中功能分为两类:服务扩展功能模块。...升级/卸载 当与C2服务器建立初始连接,该服务模块会生成一个8字节受害者ID,存储它,然后与所用system.img文件散列一起重用它,用于向服务器返回报告。...一旦凭据收集模块完成其任务,SSH感染程序就会启动,它会过滤SSH密钥凭据搜索结果,一旦找到,就激活专用线程。该线程随机超时中断时间从10分钟到2小不等,并启动渗透进程。...它还向C2服务器如实报告哈希率、工作时间、发现错误错误统计信息。...研究人员假设依赖PE时间准确性,虽然不可能验证初始EternalBlue模块时间真实性,但恶意软件后续更新含有与遥测数据大致匹配时间戳,因此初始时间戳很可能也是准确

24810
您找到你想要的搜索结果了吗?
是的
没有找到

PowerShell 降级攻击检测与防御

接下来,我们希望通过监视 PowerShell Windows(使用 EventSentry )生成各种事件来检测恶意 PowerShell 活动。...Powershell 降级攻击 在之前博客文章中,我谈到要尽可能避免使用 PowerShell v2,因为它提供了记录日志功能,理想情况下应该部署 PowerShell v5.x 或更高版本,因为它提供了更好日志记录功能...不一定,因为我们知道 powershell V2 记录任何日志,而且每个主机上都安装了 powershell V2,尽管只是附带安装了相应 .NET 框架而且并未默认使用。...-v*2 这样正则匹配来检查异常参数。...,因为 powershell 执行好都是很短时间,在使用 powershell V2 出发终止,正常 powershell 进程很大可能不会同时存在。

2.2K00

PowerShell若干问题研究

一、PowerShell简介 PowerShell是一种基于任务命令行shell脚本语言,构建于.NET之上,通常用于管理基于Microsoft Windows操作系统技术(LinuxMacOS...具体Empire平台搭建文档见链接[3],网上已有很多实验报告,这里对简单安装不做赘述,仅对未提到“坑”及注意点进行整理如下: 1.在Empire安装过程中,需使用root账户进行实验。...(二)代码逻辑关系梳理 第一部分,日志上传过程: 1.在日期为1号并且注册表中LogFile为False(日志文件没有上传到服务器时候),若在文档/模板宏代码中找到标记Marker(Marker...2.c:\netldx.vxd为ftp配置文件,其中内容为登录服务209.201.88.110,并将日志文件传到服务器上。 3.注册表中LogFile设置为True,表示已上传。...该用户再用模板创建word时候,此时模板来感染文档,将文档宏代码替换为模板宏代码,此时文档被感染。 2.当文档宏感染模板,加上了时间、日期、用户名、地址等内容在代码最后。

1.5K00

使用 DISM 安全清理 C 盘 WinSxS 文件夹空间

本文将介绍如何使用系统内置 DISM 工具进行安全清理 C 盘空间,清理 WinSxS 文件夹里面的可回收删除程序包空间 开始之前,先使用管理员权限打开 CMD 或 PowerShell 命令行窗口。...在 Win11 下,可右击开始菜单,点击终端管理员打开管理员权限 PowerShell 命令行窗口 先查看 WinSxS 文件夹里面的可回收删除程序包数量上次清理时间,以及 WinSxS 文件夹所占用实际空间...:13 可回收程序包数 : 1 推荐使用组件存储清理 : 是 各个项说明如下: Windows 资源管理器报告组件存储大小:Windows 资源管理器计算 WinSxS 文件夹大小。...此不会考虑 WinSxS 文件夹中使用硬链接。 组件存储实际大小:此考虑 WinSxS 文件夹中硬链接。 它不会排除通过硬链接与 Windows 共享文件。...与 Windows 共享:此提供使用硬链接文件大小,这些文件使用硬链接以便同时显示在组件存储其他位置(为便于正常操作 Windows)中。

1.9K20

1.PS编程入门基础语法

然后着时间推移,我逐渐掌握了编写脚本、函数模块技能。...$ForEach : 包含 ForEach-Object 循环枚举数。可以对 $ForEach 变量使用枚举数属性方法。 此变量仅在运行 For 循环存在,循环完成即会删除。...将标量输入提交给 -match 或 -notmatch 运算符,如果检测到匹配,则会返回一个布尔,并使用由所有匹配字符串组成哈希表填充 $Matches 自动变量。...- % 2) 比较运算符: PowerShell 包含许多比较运算符,用于比较或查找与特定模式匹配。...-Match 匹配指定正则表达式 -NotMatch 匹配指定正则表达式 -Contains 确定集合中是否包含指定 -NotContains 确定集合是否包含特定 -In

20.5K20

PowerShell渗透–Empire

就可以使用powershell代理功能还可以快速在后期部署漏洞利用模块,内置模块有键盘记录,Mimikatz,绕过UAC,内网扫描等,可以躲避网络检测大部分安全防护工具,类似于Meterpreter...杀软反应还是很迟钝,慢了7,8分钟,应该是本地病毒库没有匹配到特征在云端分析 ? 将样本上传virustotal进行分析,57家只有一家能够准确识别该宏病毒, 除了白利用,这种效果还是很理想。...连接主机 agents #列出当前已连接主机 interact #连接主机 remove stale #删除失效主机 help agentcmds #查看常用命令 使用CMD命令,要使用”shell...powershell/situational_awareness/host/winenum 列举系统中所有有用信息,报告各种日志、RDP登录信息等 usemodule powershell/situational_awareness.../reverse_dns 显示当前内网dns服务器地址 usemodule powershell/situational_awareness/host/dnsserver 查找域管登录服务器IP usemodule

2.2K21

Ansible 客户端需求–设置Windows主机

Ansible可以管理包括Windows 7、8.110桌面操作系统以及包括Windows Server 2008、2008 R2、2012、2012 R2、20162019服务器操作系统。...如果需要重新启动username并且password已设置参数,则脚本将从重新启动后自动重新启动并登录。该脚本将继续执行,直到不需要其他操作并且PowerShell版本与目标版本匹配为止。...如果未设置username password参数,脚本将提示用户手动重新启动并在需要登录。下次登录用户,脚本将从上次停止地方继续,然后继续该过程,直到不需要其他操作为止。...使用GPO配置键后,该键[Source="GPO"]将在旁边包含文本。 常见WinRM问题 由于WinRM具有广泛配置选项,因此可能难以设置配置。...警告 使用此功能需要您自担风险!在Windows上使用SSH是试验性,该实现可能会在功能版本中进行向后兼容更改。服务器端组件可能不可靠,具体取决于所安装版本。

9.9K41

传播恶意软件最有效帮手:超95%PowerShell脚本都是恶意脚本

但赛门铁克最近一份报告指出,超过95%PowerShell脚本实际上都是恶意脚本。 赛门铁克在报告(传送门)中指出,绝大部分恶意PowerShell脚本都是扮演下载角色。...赛门铁克分析,95.4%PowerShell脚本为恶意脚本,这个结果表明来自外部PowerShell脚本程序对企业构成了重大威胁,尤其是在使用shell 框架企业中。 ?...不过实际上,报告中一直在强调,最常与PowerShell匹配还是Office宏;另外各种Exploit Kits漏洞利用工具也经常采用PowerShell,比如说相当知名RIG、Neutrino、Magnitude...除此之外,赛门铁克这份报告还详细谈到了黑客针对PowerShell脚本混淆技术;列出了不少PowerShell恶意程序相关信息,包括勒索软件,键盘记录器,以及银行后门木马。...另外,我们也应该(尤其是安全人士)经常审视PowerShell命令行,通常合法脚本内容目的都很直观,而攻击脚本通常都使用Base64加密命令行,并且经常把各种脚本团塞在一行内,出现这种情况,我们一眼就能看出端倪

1.5K60

Red team之Octopus(章鱼)使用

Octopus在与C2通信被设计为隐秘且隐蔽,因为它在Powershell代理与C2服务器之间加密通道默认使用AES-256。 Octopus功能: 通过HTTP / S控制代理。...加载外部Powershell模块。 在C2代理之间使用加密通道(AES-256)。 使用不起眼技术执行命令并传输结果。 为每个目标创建自定义侦听器多个侦听器。...生成不同类型有效载荷。 支持Powershell 2.0或更高版本所有Windows版本。 在触摸powershell.exe进程情况下运行Octopus Windows可执行代理。...BindIP:侦听器将使用IP地址。 BindPort:要监听端口。 主机名:您将用于与之通信主机名。 时间间隔:代理在检查命令之前将等待秒数。...您还可以将Powershell模块加载到Octopus中以在攻击过程中为您提供帮助,您只需要将要使用模块复制到“模块”目录中,然后在与代理进行交互执行“load module_name”以直接加载模块

1.5K30

刚去面试现场聊了一个多小时Redis ,悄悄分享给大家!

新版本redis直接自己构建了VM 机制 ,一般系统调用系统函数的话,会浪费一定时间去移动请求。 redis当物理内存用完,可以将很久没用到value交换到磁盘。.../redis-server 2.运行启动: redis-server 加上要修改配置名(可以是多对),没有配置使用默认配置。...手动触发: save: 阻塞当前Redis服务器,直到RDB过程完成为止,如果数据比较大的话,会造成长时间阻塞, 线上建议。...2.AOF缓冲区根据对应策略向硬盘做同步操作。 3.随着AOF文件越来越大,需要定期对AOF文件进行重写,达到压缩目的。 4.当redis服务器重启,可以加载AOF文件进行数据恢复。...它优点是空间效率查询时间都比一般算法要好的多,缺点是有一定误识别率删除困难。 Tips:当判断一定存在,可能会误判,当判断不存在,就一定不存在。 #### 48.什么是缓存穿透?

58630

Exchange邮箱服务器后利用

Exchange邮箱服务器后利用 目录 使用PSSession连接Exchange服务器管理邮件 导出邮件 导出所有用户所有邮件 导出指定用户所有邮件...搜索邮件常用命令 使用powershell脚本搜索 在Exchange服务器上直接管理邮件 导出邮件 导出所有用户所有邮件 导出指定用户所有邮件...使用powershell脚本导出邮件 搜索邮件 搜索邮件常用命令 使用powershell脚本搜索 作者:谢公子 @深蓝攻防实验室 当我们拿到了...使用PSSession连接Exchange服务器管理邮件 首先使用PSSession连接Exchange服务器 #使用PSSession连接Exchange服务器 $User = "xie\administrator...,包括邮件数上次访问邮箱时间 Get-Mailbox | Get-MailboxStatistics #获得所有OU Get-OrganizationalUnit #查询指定用户指定时间起发送邮件记录

2.9K10

渗透测试关于文件时间小技巧

来源:http://www.51testing.com 前题   我们都知道每个文件都有三个时间属性,分别为创建时间上次修改时间上次访问时间。...我们可以使用powershell命令查看文件所有属性(ls)[0]|fl *命令解析:以列表形式展示当前目录第一个文件所有信息 ?...发现菜刀只是修改了上次修改时间上次访问时间,创建时间仍然是正确。  应急响应   针对这种情况,我们只需要对磁盘进行搜索,以创建时间为准倒序排列即可发现黑客上传webshell。...最后   为了真正修改文件时间,在使用菜刀修改文件时间后,还需要执行命令powershell ((Get-ChildItem shell.php).CreationTime='2000/8/30 23:...59:39')实际渗透创建时间应该略早于修改时间,或一致 ?

94320

第46篇:伊朗APT组织入侵美国政府内网全过程揭秘(上篇)

本期分享一个真实APT实战案例,我查看了公布在网上英文分析报告,并对部分汉化文章翻译错误进行了改正,力图还原真实过程分享给大家。有些技术细节,英文报告中并没有提到,还望大家谅解。...Part2 流程图 首先放一张我画此次APT事件流程图,这个APT案例图示非常难画,还好之前在qax"猛哥"分享了很多作图技巧,稍后文章会给出此次APT流程详细讲解。...Part3 美国政府分析报告 2022年11月16日,美国国家网络安全基础设施安全局(CISA)与联邦调查局(FBI)发布了联合公告,由伊朗政府赞助一个APT组织入侵了美国联邦民事行政部门(FCEB...服务器transfer.sh脚本,下载了30MB各种文件,这些文件主要是以下几款黑客工具: 1 PsExec 供系统管理员使用带有微软签名工具。...随后,攻击者在VDI-KMS服务器上执行Mimikatz程序获取服务器账号凭证,同时创建了一个仿冒域管理员账户。使用这个新创建域管账号,攻击者通过RDP登录方式,内网横向了很多主机权限。

1.4K20

2020年黑客首选10大Windows网络攻击技术

此外,由于分析正常PowerShell 恶意PowerShell需要一定时间,最好对于经常使用脚本PowerShell进程建立一个基准,帮助过滤,从而发现可疑cmd.exe混淆命令。...当试图创建新服务进程,建议查看日志中事件4697、70454688。 4、16%:计划任务 报告指出,攻击者使用计划任务来建立持久性。...7、6%:文件或信息混淆 在攻击者希望隐藏其行动,会使用诸如Base64编码之类工具隐藏其攻击过程。...建议设置使用PowerShell政策,并且只使用签名脚本执行。...为此,建议不是直接查找文件名而是查找进程,从而确定攻击者是否正试图使用此技术进行攻击。如果可以,请使用可以比较文件哈希系统,这样即使文件名更改,哈希也不会偏离。

98850

报告:PowerShel lGallery易受输入错误其他包管理攻击

Aqua Nautilus最新报告指出,PowerShell Gallery关于包名称所有者政策中仍然存在重大缺陷,这些缺陷使得在该注册表中不可避免地发生typosquatting攻击,同时也使用户极难辨别软件包真实所有者...然而,这只会将他们引向虚假作者配置文件,因为攻击者在PowerShell Gallery中创建用户可以自由选择任何名称。...披露时间表 2022年9月27日——Aqua研究团队向MSRC报告了缺陷。 2022年10月20日——MSRC证实了研究人员报告行为。...缓解建议 如上所述,这个问题仍然是可重复出现,所以在使用PowerShell Gallery中需要更加注意谨慎,直到微软修复了这些缺陷。...使用可信私有存储库:这可以确保存储库具有有限互联网访问用户访问,用户可以在其中管理使用自己私有模块,同时还可以以更安全方式存储来自公共PowerShell gallery模块。

17820

powershell2.0弊端

1、7z在powershell2.0命令行特定解压命令有问题,兼容性差,得换个powershell语句才行 例如下面代码执行到解压哪一行就走不下去,所以我才用#注释了它,然后用另一个兼容性高powershell...中,不论是否匹配到,都不会报错,但在powershell2.0中要么第2句$OEMNumbers匹配不到(语法问题,调整后可以匹配到),要么匹配不到则在foreach语句中出现异常 $RedHatDrivers1...这可能是因为您正在使用 .NET Framework 或 PowerShell 版本过低。 在 PowerShell 中,TLS 1.2 由 .NET Framework 提供支持。....4.5,或者您 PowerShell 版本低于 3.0,那么您将无法使用 TLS 1.2。...]::Tls 请注意,SSL 3.0 TLS 1.0 都存在已知安全问题,推荐使用

23000

使用Powershell 获取内网服务器信息状态

文章来源|MS08067 内网安全知识星球 本文作者:贝多芬忧伤(Ms08067内网小组成员) 收集服务器信息状态 在内网渗透过程中,有时我们是需要了解不同服务器基本软硬件配置信息,同时也可能需要...将它们生成报告进行归档,那么通过 Powershell,我们也能够轻松去完成这个过程。...本文中,我 们将主要说明如何通过 Powershell 收集系统信息生成报告。...使用 Powershell 提供 Module 相关命令:比如我们在前面使用Get-Process 获取当前计算机中运行进程 2....在没有 Powershell 年代,使用 VBScript 编写脚本获取系统信息,WMI 是不二之选; 从 Windows Server 2008 到 Windows Server 2016 ,微软一直致力不断完善

2.3K40

我所了解内网渗透 - 内网渗透知识大总结

密码转换为NTLM哈希时间使用散列加密,并作为身份验证票据(TGT)请求(AS-REQ)中身份验证器发送给KDC。...(ESE)ESE级索引引对对象属性可以快速定位.ESE确保数据库符合ACID(原子性,一致性,隔离性持久性) - 交易中所有操作完成或执行.AD ESE数据库非常快速可靠。...卷影副本,也称为快照,是存储在Data Protection Manager(DPM)服务器副本时间点副本。副本是文件服务器上单个卷受保护共享,文件夹和文件完整时间点副本。...该文件还包含所有域用户计算机帐户密码哈希。...同步之后使用法国佬神器(mimikatz)查看KRBTGT用户SAM中管理员NTLM。 可以看到两个账户NTLM相同,说明确实同步成功 ? ?

4.1K50

Windows PowerShell 工具

如果尚未开始使用 Windows PowerShell,很可能您很快就会用到它。Windows PowerShell 将成为 Windows Server 领域核心管理工具。...可对该数据应用列过滤器过滤器以获取所需信息。此外,可添加自己自定义列以提供满足特定需求计算或自定义结果。...除这些功能外,PowerGUI 还有许多用于报告查看内置常见操作脚本,可利用它们来将数据转储到 XML、CSV、HTML 剪贴板。...您还可以找到用于 Active Directory 管理、Exchange 服务器管理、Microsoft Operations Manager 任务、常见 Windows Server 任务等脚本操作...PowerGUI 是一个坚实起点,它提供了基于 GUI 且可扩展管理工具,与 Windows PowerShell 搭配使用

2.7K90
领券