专栏名称: 希潭实验室
ABC_123,2008年入行网络安全,某部委网络安保工作优秀个人,某市局特聘网络安全专家,某高校外聘讲师,希潭实验室创始人。Struts2检测工具及Weblogic T3/IIOP反序列化工具原创作者,擅长红队攻防,代码审计,内网渗透。
今天看啥  ›  专栏  ›  希潭实验室

第103篇:对一个加密混淆的java内存马的反混淆实战分析

希潭实验室  · 公众号  ·  · 2024-09-03 18:04

主要观点总结

本文介绍了ABC_123对Webshell文件和内存马class文件的分析过程。文章首先提到了近年来红队人员对内存马部分代码进行加密混淆的趋势,并说明了是为了绕过RASP的防护。接着详细描述了作者从流量中抓取并还原Java攻击代码的过程,包括使用base64和AES算法解密的过程,以及对class文件的反编译和分析。最后总结了当前内存马制作的趋势和下一步的研究方向。

关键观点总结

关键观点1: 文章背景及目的

作者收到网友发来的Webshell文件或内存马class文件,并决定进行研究分析。

关键观点2: 技术研究过程

作者详细描述了如何从流量中抓取并还原Java攻击代码,包括使用base64和AES算法解密的过程,以及对class文件的反编译和分析。作者还提到了内存马的特征,如冰鞋内存马的使用和特定User-Agent的流量特征。

关键观点3: 内存马的特点和趋势

作者指出,很多红队制作的内存马开始使用java代码混淆,并且越来越复杂,这可能是为了绕过RASP的防护。

关键观点4: 总结和展望

作者总结了文章的主要内容和研究成果,并预告了下一篇文章将继续介绍更加复杂的内存马解密。


文章预览

 Part1 前言  大家好,我是ABC_123 。在前几周的攻防演习比赛过程中,收到了几个网友发来的Webshell文件或者内存马class文件,让我帮忙分析一下,这两天正好抽时间研究一下。在最近几年,很多红队人员早已对内存马部分代码进行层层加密及深度的加密混淆,推测是为了绕过RASP的防护。 注: 为了防止泄露敏感信息,ABC_123将以下截图中的关键类名、关键字、特征都进行了重命名或者模糊化处理。  Part2 技术研究过程  从流量中抓取并还原出java攻击代码大致如下:通过Base64Utils可知,那一长串字符推测为base64加密,然后AESUtils是第2层解密算法。其中,AESUtils的具体实现代码我们不知道,但由于该方法只传了一个key值,可以大致推测出解密算法的具体实现。 如下图所示,手工编写一个AES解密方法,将上述代码中的base64密文经过AES算法解密,成功得到一 ………………………………

原文地址:访问原文地址
快照地址: 访问文章快照
总结与预览地址:访问总结与预览