专栏名称: 暗影安全
暗影安全团队,是国内早期研究ICS_Security的团队,发展方向以ATT@CK攻击链技术研究为主线,信奉以攻促防的实战必要性。
今天看啥  ›  专栏  ›  暗影安全

先锋马上线后渗透-dll注入上线

暗影安全  · 公众号  ·  · 2024-06-24 22:04
    

文章预览

前言:前面跟各位师傅提到过先锋马制作上线思路,那么我们在先锋马上线后如何进一步去做呢?本文会逐一为各位师傅讲述。 Q 为什么我们需要白加黑这种攻击方法呢? 答:无论是分离免杀还是捆绑上线的免杀方式早已被研究员们每天推演成千上万遍了,像CS这类主流的C2工具的yara规则早就被各大安全厂商研究透了,去年9月份XOR加密尚且还能躲过微步的排查,今年XOR密钥一被撞出,那么yara规则已经被匹配的无处可逃了,如下图。白加黑成本最低,最有效率(除了某数字杀软对此类方式较敏感,针对其他杀软都有机可趁)。 那什么是白加黑呢? 答:DLL注入,一般可以通过dll劫持来实现,就是通过创建一个缺省的DLL,自己制作一个恶意的DLL去充当缺省的DLL,在程序运行时创建线程/进程会调用该DLL,程序 加载包含恶意代码的DLL文件后,即运行我们恶 ………………………………

原文地址:访问原文地址
快照地址: 访问文章快照
总结与预览地址:访问总结与预览