文章列出了一些对抗360 QVM的一些方法,总的来说包括:
1.减熵:单词映射和一个感觉很好玩的东西 马尔可夫链 (Markov chain)
2.添加资源:利用Resource Hacker或者是直接在VS中添加
3.给section中添加一些白数据
4.添加一些无害化的函数,是程序行为看起来很正常(这一部分感觉可以做成静态链接库,用啥拿啥)
5.增加一些正常的字符串
6.复杂流程
7.窗体程序
该文章详细的介绍了CS Beacon 的DNS通信过程,只能说确实巧妙的很
最近要做DNS马相关的工作,所以在看DNS相关的为红队可以落地的攻击面探索,其中这篇文章引起了我的注意。我在阅读的时候主要有几个点让我感觉很受用
1.DNS TXT长度限制
文章提到可以通过自建DNS服务器的方式来解决这个限制。但受限于底层UDP包的长度问题,仍然不可以超过65535.
2.白域名问题
这里提到了一个很不错的地方,因为我们是自建域名解析服务器,因此我们可以直接向各大白域名发起DNS请求,只需要在请求的时候指定一下使用自己的DNS服务器即可
找到目录:例如D:\QAX360Safe\EntClient\conf\EntBase.dat将配置文件修改为[protect] uienable=1 //改为0 qtenable=1 //改为0但感觉这个方式是老天擎,反正我的新天擎是没有这个目录,毕竟360和奇安信早分家了...
1.官方介绍如下
AM0N-Eye 是一个编译了一组最重要的脚本的集合,这些脚本专门为 Cobalt Strike 编写,其他文件如用于修改颜色和图像的 de 文件。所有的知识产权均保留给原始开发者。只需打开 Cobaltstrike.jar 文件,并将其替换为 de 以及 default.cna 和 resources,还有已添加的项目的名称。加入的项目包括 ScareCrow、CrossC2、CSSG-xor、InvokeCredentialPhisher、Registry-Recon、StayKit,这里我将介绍一些 AM0N-Eye 的 TTPs,但不是全部。
Linux、MacOS 和 Windows 的 C2 服务器
伪造警报技术
避免 AV/EDR 的技术
shellcode 生成器和混淆器
持久性技术
新的 BOF
AV/EDR 侦察
未被杀毒软件检测到的 PayloadGenerator
自定义恶意软件
新的 C2 配置文件
我感觉看着就像是一个利用CS的一些接口爆改CS,并集成了很多市面上的项目组成的。
2.下载地址
下载地址