0x04 Donot组织某利用样本分析
样本名称:EOI-Application_Form.inp
MD5:D9279F628C9F19420F14EDF3CFC3123F
调试方法同上一样本,不再赘述。与上一样本相似,通过连续两个0x35363839(字符串"5689")定位Shellcode:
解密将要执行指令:
第二次解密:
获取GetModuleHandleA调用地址:
第三次解密:
通过硬编码的方式来给GetProcAddress()传递参数:
之后分别获取ole32.CoInitialize、msvcrt.fclose、kernel32.ExitProcess、kernel32.GetEnvironmentVariableW、msvcrt.strlen、msvcrt.fwrite、msvcrt.memset、ole32.CoCreateInstance、msvcrt.fopen、msvcrt.strcat、kernel32.GetEnvironmentVariableA、msvcrt.malloc函数的调用地址。
清空内存内容,用于后续存储字符串:
拼接字符串:
向C:\Windows\Tasks\tss.js这一JS文件中写入内容:
该脚本功能为执行同目录下的staEnd.dll。
之后通过于启动目录创建快捷方式实现持久化:
该快捷方式指向JS文件:
保存到文件:
向staEnd.dll文件中写入内容:
向file.inp文件中写入内容:
写入完成之后关闭文件,并调用ExitProcess()退出。
0x05 Confucius(孔夫子)组织某利用样本分析
样本名称:Visit of Azerbaijan delegation to pakistan.inp
MD5:633640453DE64EB79891B7433242A0A1
该样本与0x03.1中样本利用方法相同,不再赘述。
0x06 参考
•Wikipedia——https://en.wikipedia.org/wiki/InPage•蔓灵花(BITTER)APT组织使用InPage软件漏洞针对巴基斯坦的攻击及团伙关联分析——https://www.anquanke.com/post/id/166861•ATT&CK 之后门持久化——https://paper.seebug.org/1007
插播广告:
课程大纲
(预计课程时长8h左右,后续根据讲师录制情况可能有所调整)
1 我是如何理解安全服务的
2 漠坦尼特色的MSS托管安全
3 如何做好重大活动保障支持
4 真正满足渗透测试项目
4.1 实战甲方驻场渗透面
4.2 实战某Web渗透测试
4.3 实战某APP渗透测试
4.4 实战某小程序渗透测试
4.5 实战某公众号渗透测试
5 代码审计
5.1 PHP代码审计
5.11 环境搭建
5.12 某案例分析
5.2 JAVA代码审计
5.21 环境搭建
5.22 某案例分析
6 内网渗透
6.1 内网渗透的理解
6.2 某项目的实战分享
课程地址:
https://live.freebuf.com/detail/313c9d9e27091f2d628e3a388a87c781
