而该后门病毒疑似为Quasar RAT的变种(一款国外开源远控工具),具备了下载、执行、上传、信息获取与记录等常见的远程控制功能,对用户特别是企业单位具备严重安全威胁。 Quasar RAT是国外一款开源的远控工具,具有下载、执行、上传、信息获取与记录等常见的远程控制功能。 相关代码如下图所示: 脚本ps1.bmp相关代码 解密完成后的ps2.bmp为C#编写的后门模块。 远控功能代码对比如下图所示: 该后门远控功能与Quasar RAT对比
而该后门病毒疑似为Quasar RAT的变种(一款国外开源远控工具),具备了下载、执行、上传、信息获取与记录等常见的远程控制功能,对用户特别是企业单位具备严重安全威胁。 Quasar RAT是国外一款开源的远控工具,具有下载、执行、上传、信息获取与记录等常见的远程控制功能。 脚本ps1.bmp相关代码 解密完成后的ps2.bmp为C#编写的后门模块。 远控功能代码对比如下图所示: ? 该后门远控功能与Quasar RAT对比 三、附录 病毒hash ?
2核2G云服务器首年95元,GPU云服务器低至9.93元/天,还有更多云产品低至0.1折…
CobaltStrike官网:https://www.cobaltstrike.com 环境:Java 设备:Windows或Linux均可(推荐服务端使用Linux服务器) 目录文件和功能介绍: 3.Payload Generator:生成各种编程语言的payload(包含C、C#、COM Scriptlet、Java、Perl、Powershell、Python、Ruby、VBA) 4.Windows 复制 4.远控进行vnc,文件管理,进程查看等一系列操作。 wmi 使用WMI在主机上生成会话 复制 (4)其他: 这里仅仅介绍了CobaltStrike工具的一小部分功能,CobaltStrike是一款非常强大的远控工具 实战免杀远控操作请看本人博客另一篇文章:http://blog.tianles.com/55.html 最后送给大家一句话;“疯狂源自梦想,技术成就辉煌,实力创造价值!” 与诸君共勉,谢谢。
这种叫法对于不够专业的人来说不会错,因为他根本不需要了解远控到底用什么协议实现,反正都叫C2。 以前只能称为后门,连远控都称不上的,现在只实现了一个CMD执行命令,就说成自己写个远控了,多台机器管理实现不了先不说,只能一对一,断以后就无法控制,连后门都不合格,还TM说成远控。 PS:之所以写这一段话,主要是发现不少写马的或渗透的,竟然都分不清楚服务端和控制端。 HTTP协议 ? CS心跳包 一般在设计远控时,我们都会对机器进行标记,比如上线特征为AA对应信息已保存在本地数据库,因此想要确认机器是否还在控。我们只需要发送A标识给客户端,告诉它机器还在控制,即心跳包。 结语 通过本文我们了解了CS心跳包机制、下达指令、回显等原理,并玩弄入侵者,有兴趣的话,可以自行抓包实现自己的CS服务端,甚至支持对Linux的控制。
Linux恶意文件在分析处置过程中,与其他环境恶意文件分析思路大体相同,但仍有其一些特有的特点困扰着linux管理员。 根据国家信息中心信息与网络安全部发布了《2017年上半年中国网络安全报告》,报告显示2017年1至6月已截获Linux病毒样本总量42万个,远远超过了2013年、2014年和2015年的总和,虽然数量远差 windows平台,一旦安装linux的服务器遭受勒索或被远控成为肉鸡,预计造成的影响和经济损失将会非常惨重。 文件的执行行为,从大的方面可以划分为本机+网络,在本机当中的行为又可进一步细分为读、写操作,具有共性的行为包括: a. 根据已建立起的部分连接可以发现,远控端有可能采用的是一种通用管理信息协议(CMIS/CMIP)对僵尸网络进行管理和指令发布,由于远控端连接的是164端口,猜测远控端只是黑客控制链中的一环,而非真实操作环境
本专题文章导航 1、远控免杀专题文章(1)-基础篇:https://mp.weixin.qq.com/s/3LZ_cj2gDC1bQATxqBfweg 2、远控免杀专题文章(2)-msfvenom隐藏的参数 :https://mp.weixin.qq.com/s/1r0iakLpnLrjCrOp2gT10w 3、远控免杀专题文章(3)-msf自带免杀(VT免杀率35/69):https://mp.weixin.qq.com /s/A0CZslLhCLOK_HgkHGcpEA 4、远控免杀专题文章(4)-Evasion模块(VT免杀率12/71):本文 文章打包下载及相关软件下载:https://github.com/TideSec csc.exe是微软.NET Framework 中的C#语言编译器,本机安装了.net后就可以找到该文件。我这里用vs2017里的csc.exe进行编译,生成install_util.exe。 ?
github.com/aboul3la/Sublist3r https://github.com/TheRook/subbrute https://github.com/infosec-au/altdns linux zTrix/zio 跨平台注入工具: https://github.com/frida/frida 哈希长度扩展攻击EXP: https://github.com/citronneur/rdpy 隐写 隐写检测工具 https://github.com/abeluck/stegdetect 各类安全资料: data_hacking合集: https://github.com/ClickSecurity glastopf 数据库蜜罐: https://github.com/jordan-wright/elastichoney web蜜罐: https://github.com/atiger77/Dionaea 远控 用gmail充当C&C服务器的后门 https://github.com/byt3bl33d3r/gcat 开源的远控: https://github.com/UbbeLoL/uRAT c#远控:
远控生成 1、先说点废话,来确认下 Kali 虚拟机配置好的IP地址: ? 2、在 Kali 终端输入以下命令在 Kali 虚拟机/root路径下生成远控文件520.apk: ? 传输远控 远控文件已经生成了,但如何从 Kali 虚拟机传输到 Win10 物理主机并进一步传输到受害者手机呢? 1、使用Xshell远程连接工具,新建如下SFTP协议的文件传输会话: ? 3、在 Win 10 主机打开QQ程序,向华为手机发送远控文件并安装(这个就不用演示了吧…),安装后如下: ? 3、执行命令exploit,开始执行攻击程序,进入监听状态,等待目标手机上线(用户点击远控程序): ? 命令行执行 成功建立攻击会话后可以对受害者手机进行像Linux主机shell一样对手机进行命令执行操作: ?
CobaltStrike上线Linux主机(CrossC2) 写在前面 在红蓝对抗中,我们经常会碰到需要对Linux主机进行长期远控的情况。 对于Windows主机,我们可以使用CobaltStrike,那么自然我们会想问,CobaltStrike能否对Linux主机进行长期远控呢? 在上一篇文章中我提到了,CobaltStrike自身上线Linux主机的情况,需要知道对方Linux主机的账号密码或SSH秘钥,并且还需要获取一台其他机器权限作为中继。 将项目src目录下 genCrossC2.Linux 文件上传到CobaltStrike服务端目录下。 /genCrossC2.Linux 监听的IP 监听的端口 null null Linux x64 test 5:执行木马上线 责编:vivian 来源:谢公子博客
一旦漏洞成功利用,便会下载并启动第一阶段攻击载荷,通过多次资源文件解密之后执行最终的商业化远控木马WARZONE RAT。 WARZONE RAT是一款功能完善的商业化远控木马软件,有多次进行攻击活动的记录。 Warzone RAT木马具备比较完整的远控功能,在后面技术分析部分会进行介绍。WARZONE RAT因为木马文件中存在字符串AVE_MARIA,又被安全厂商识别为Ave Maria。 ? WARZONE RAT WARZONE RAT是一款通过C++实现的商业远控木马程序,兼容所有的Windows版本,功能非常完善,运行后可以实现对植入机器的完全控制。 No.4 事件影响及建议 近日发生的攻击事件表明,黑客不断利用当前新冠疫情的热度,进行钓鱼邮件攻击,投放远控木马。
Ares远控 前言 本文介绍一个比较有意思的基于Python的远程控制工具Ares。 Ares远控采用B/S架构,基于Python2,Server端使用Flask进行开发,整体在浏览器就可以轻易操作。 支持功能: 远程命令执行 权限维持 文件上传/下载 屏幕截图 文件压缩 第一节 项目使用 对于项目的安装和运行,在github项目的使用说明中,写的很清楚,如下图所示。 ? 启动server ? 第二节 优势与不足 这个使用Python开发的B/S远控,整体来说实现一个远控的基本功能。 pyinstaller带包成二进制文件 使用http协议进行交互,防火墙不会拦截 不足: 使用py2开发,不兼容py3 并发性差 循环采用http询问,效率低下,容易被发现 http数据域没有被加密,保密性差 打算对这个远控进行重写
之前写了远控免杀系列的文章,学习到一些比较好玩的免杀姿势,又从网上找到了一些针对mimikatz的免杀技巧,于是就有了这篇mimikatz免杀的文章。 本文所用到的相关工具和代码都已经打包:https://github.com/TideSec/BypassAntiVirus/tree/master/tools/ 0x02 免杀介绍 在远控免杀专题(1) 5、白名单免杀白名单主要是使用了rundll32、msbuild、mshta、cscript等多个白名单程序来加载嵌入了mimikatz的jscript脚本,这部分没有太多亮点,和之前写的远控免杀专题白名单篇基本相似 方法11-用C#加载mimikatz(VT查杀率35/73) 参考https://www.jianshu.com/p/12242d82b2df 参考远控免杀专题(29)-C#加载shellcode免杀- 0x05 小结 通过对mimikatz免杀的研究,也算是对之前的远控免杀专题文章进行了重温和实践,整理了几种能适用于任意exe文件的免杀方法,最起码以后看到杀软不会那么咬牙切齿了。
本专题文章导航 1、远控免杀专题(1)-基础篇:https://mp.weixin.qq.com/s/3LZ_cj2gDC1bQATxqBfweg 2、远控免杀专题(2)-msfvenom隐藏的参数:https ://mp.weixin.qq.com/s/1r0iakLpnLrjCrOp2gT10w 3、远控免杀专题(3)-msf自带免杀(VT免杀率35/69):https://mp.weixin.qq.com /s/A0CZslLhCLOK_HgkHGcpEA 4、远控免杀专题(4)-Evasion模块(VT免杀率12/71):https://mp.weixin.qq.com/s/YnnCM7W20xScv52k_ubxYQ 5、远控免杀专题(5)-Veil免杀(VT免杀率23/71):https://mp.weixin.qq.com/s/-PHVIAQVyU8QIpHwcpN4yw 6、远控免杀专题(6)-Venom免杀 小结 Shellter安装非常简单,使用也非常便捷,而且生成的payload免杀效果也都比较好,windows和linux下都可以使用,实在是居家旅行、**灭口必备良药。
简介 本次更新主要有三项,其中较大的改动是增加了非持续性事件处置流程及方法 持续性的挖矿、远控后门等事件可以通过直接排查发现,但是在实际工作中,很多恶意行为(访问恶意域名、连接恶意IP)只集中出现了几次 无法确定是否已经清理完整,所以需要有一个专门的章节来处理这类事件,我们将它命名为非持续性事件 针对非持续性事件的监控,通常客户是比较抵触安装一些较为复杂的程序的,对于可审计的脚本的态度较为温和,所以我们写了 Linux 有监控需求的,可以直接使用 脚本下载链接 https://pan.baidu.com/s/1yvvehE3MWhPGVsc8hIhiQw 提取码: ks35 更新日记: v1.5 2022.9.29 完善远控后门章节 ,增加与C&C隐藏的对抗章节 增加非持续性事件处置流程及方法 小技巧模块增加批量查找文件并打印信息(防守常用) v1.4 2022.4.30 小技巧新增数据恢复章节 完善挖矿和远控后门,新增确定程序运行时间章节 2021.7.1 解决了上一版本中图片缺失问题 增加 ssh config 后门检查 增加 ptrace_scope 配置检查 更新了部分文字表达 v1.0 2020.5.3 hello world Linux
来自 | FreeBuf PS:本文仅用于技术讨论与交流,严禁用于任何非法用途,违者后果自负 在学习攻击渗透的过程中,不免会接触远控工具。 现有的远控工具很多,从大名鼎鼎的冰河到CHAOS。 本文详细介绍了一款最小功能集的远控工具的实现细节,按照步骤动手实现,不仅可以对于远控工具的背后思路有了更深的体会,也可以巩固自己在多线程、网络编程等方面的知识。 一、总体结构 ? 图1.总体结构 同一般的远控工具一致,我们要实现的这款工具也是包含服务端和客户端。 服务端运行在VPS主机上,监听443端口。 而写注册表和注入进程的行为,通常会被杀软作为高危项检测到。 由于我们的这款远控工具只是学习使用,所以不考虑绕过杀软的方法,使用写注册表的方式将自己设置为开机自启动: ?
PS:本文仅用于技术讨论与交流,严禁用于任何非法用途,违者后果自负 在学习攻击渗透的过程中,不免会接触远控工具。 现有的远控工具很多,从大名鼎鼎的冰河到CHAOS。 本文详细介绍了一款最小功能集的远控工具的实现细节,按照步骤动手实现,不仅可以对于远控工具的背后思路有了更深的体会,也可以巩固自己在多线程、网络编程等方面的知识。 一、总体结构 图1.总体结构 同一般的远控工具一致,我们要实现的这款工具也是包含服务端和客户端。 服务端运行在VPS主机上,监听443端口。 由于我们的这款远控工具只是学习使用,所以不考虑绕过杀软的方法,使用写注册表的方式将自己设置为开机自启动: 图5.写注册表开机自启动 主要的步骤就是首先将自己复制到临时目录,并且改名为svhost.exe
一种 Au3 远控木马变种样本分析 0x01 Au3 简介 AutoIt3 (简称 Au3)是一种能够在Windows GUI 或 DOS 上实现一系列自动化任务的脚本语言,其语法类似BASIC。 可以认为,该新型木马变种的作者在原有的利用代码框架上,进行了增配和强化,使其完全具备远控木马的功能。 3.4 远控行为 得到 inject.dll 后,发现该模块为 C# 源码编写,用 dnSpy 载入分析发现,木马运行时,首先建立与远控服务器的心跳包连接,将受害者主机的基本信息回传到木马服务器。 0x05 攻击来源分析 攻击者使用的远控服务的 IP 地址为 192.68.x.x ,所在地为瑞典,使用的通讯协议为 tcp ,端口 7771: ? 根据第三方情报数据显示,该远控端 IP 早在 2016 年就被捕获过可疑行为: ? ?
本专题文章导航 1、远控免杀专题(1)-基础篇:https://mp.weixin.qq.com/s/3LZ_cj2gDC1bQATxqBfweg 2、远控免杀专题(2)-msfvenom隐藏的参数:https ://mp.weixin.qq.com/s/1r0iakLpnLrjCrOp2gT10w 3、远控免杀专题(3)-msf自带免杀(VT免杀率35/69):https://mp.weixin.qq.com /s/A0CZslLhCLOK_HgkHGcpEA 4、远控免杀专题(4)-Evasion模块(VT免杀率12/71):https://mp.weixin.qq.com/s/YnnCM7W20xScv52k_ubxYQ 5、远控免杀专题(5)-Veil免杀(VT免杀率23/71): https://mp.weixin.qq.com/s/-PHVIAQVyU8QIpHwcpN4yw 6、远控免杀专题(6)-Venom免杀 小结 venom是一个综合性非常强大的工具,而且支持生成多平台payload,比如android、ios、linux/unix、office等等,我这里也只是简单演示了windows下的两个agent
通过这个大洞入侵后,勒索病毒还会与挖矿机(运算生成虚拟货币)、远控木马组团传播,形成一个集合挖矿、远控、勒索多种恶意行为的木马病毒“大礼包”,专门选择高性能服务器挖矿牟利,对普通电脑则会加密文件敲诈钱财 Linux 系统是不会受到这个漏洞影响的,请放心使用。 对于很多入门新手来说,其实搭建 linux 系统并没有多么难,可以参考Linux vps 教程即可用命令行搭建,不会用命令行的使用宝塔服务器管理助手 Linux 面版-安装教程也可以通过可视化的 linux
腾讯安全威胁情报中心近日就检测到多个黑产团伙利用向日葵远控软件RCE漏洞攻击传播,有多个挖矿、远控黑产团伙利用向日葵远控软件RCE漏洞攻击企业主机和个人电脑,已有部分未修复漏洞的企业主机和个人电脑受害。 今年2月,该软件被爆出多个远程代码执行(RCE)漏洞,黑客可以远程扫描到暴露在互联网开启向日葵远控服务的系统,利用漏洞尝试攻击,存在漏洞的系统会瞬间被攻破,从而被黑客完全控制。 据腾讯安全威胁情报中心的分析报告,目前利用这个漏洞的攻击除了挖矿,还有安装其他远控软件,黑客控制企业内网服务器后可以干任何他感兴趣的事,比如窃取企业机密信息、利用已失陷系统继续在内网扩散、利用已控制的企业网络资产攻击互联网上的其他目标 类似风险并不仅限于向日葵这款远控软件,不少网管会启用Windows服务器的远程桌面服务,Linux服务器也会开启远程登录服务。 通过安全管控、合规准入、威胁感知、数据防泄漏等安全能力全方位保护企业终端。针对远程办公场景,无需VPN,可以随时随地访问企业资源,大幅优化提升远程办公/开发/运维体验。
腾讯云对象存储数据处理方案主要针对于存储于腾讯云对象存储COS中的数据内容进行处理加工,满足压缩、转码、编辑、分析等多种诉求,激活数据价值。
扫码关注腾讯云开发者
领取腾讯云代金券