DIY装机联盟-电脑故障排除|装机指南|硬件|配置|电脑知识

DIY装机联盟-电脑故障排除|装机指南|硬件|配置|电脑知识

http://www.jinanshengke.com

菜单导航

攻防战中的绝密武器

作者: 庄吉 发布时间: 2019年10月11日 13:47:47

最近在内网中发现了9款攻击者使用的工具,其中6款工具国内的安全软件都无法检测。

1、进程隐藏工具libprocesshider.so

此工具作用为劫持系统的readdir64和readdir函数,隐藏”proxy”进程。

核心功能如下图:

攻防战中的绝密武器

当readdir函数被调用时,先调用系统的readdir函数,在readdir返回的进程名字里面去比较进程名字是否含有”proxy”,如果是proxy进程,则不将readdir的结果返回给调用者,以此达到隐藏进程的目的。

攻防战中的绝密武器

根据virustotal信息,此工具国内杀软无检测:

攻防战中的绝密武器

2、流量代理工具proxy

Proxy为Dog Tunnel(狗洞),https://github.com/vzex/dog-tunnel/,go语言编写的流量代理工具:

攻防战中的绝密武器

根据virustotal信息,该工具无安全软件检测:

攻防战中的绝密武器

3、冰蝎一句话木马AdvanceSearchStyle.jsp

作为新型加密网站管理客户端,冰蝎算是作为中国菜刀的替代者。此次发现的样本为冰蝎JSP一句话木马:

攻防战中的绝密武器

冰蝎一句话木马相对于传统的一句话木马的优点是传输内容进行了AES算法加密,使得流量抓取也无法分析攻击者行为。

Virustoal检测结果:

攻防战中的绝密武器

冰蝎客户端提供了丰富的shell管理功能:

攻防战中的绝密武器

加密传输的流量样本:

攻防战中的绝密武器

4、JSP WEB后门live_index_bank3.jsp

这是一个常规的JAVA WEB后门,通过调用.jsp?nox=”命令”来执行命令

攻防战中的绝密武器

Virustoal检测结果:

攻防战中的绝密武器

模拟环境中调用如图:

攻防战中的绝密武器

5、Linux辅助提权工具LinEnum.sh

LinEnum.sh脚本是一个shell脚本,可以自动执行65个以上的Linux命令,当攻击者尝试提高目标系统上的权限时,这些命令对信息收集可能会非常有用。

本文地址:http://www.jinanshengke.com/wlzs/295.html

请遵守互联网相关规定,不要发布广告和违法内容