zeronohacker

本文为 oletools 文档的中文版，原文链接：https://github.com/decalage2/oletools/wiki 介绍oletools 是一个用来分析 Microsoft OLE2 文件的工具包，OLE2 文件是一种以结构化存储的复合二进制文件或者复合文档格式的文件，例如微软的 Office文档、Outlook 邮件信息，工具包中的工具主要被用于进行恶意软件分析、取证和调试，工具是基于 olefile 解析器的。 想要获取更多 oletools 信息，请参看 http://www.decalage.info/python/oletools Microsoft OLE2 请参看 http://en.wikipedia.org/wiki/Compound_File_Binary_Format 更新日志 2020-09-03 v0.56 olevba/mraptor: 新增 trigger _OnConnecting 检测olevba: 更新 plugin_biff 至 0.0.15 版本，完善对 Excel 4/XLM 宏解析olevba: 完善对 MHT 的检 ...

概述渗透测试和红队需要绕过常见的 AV/EDR 设备并在目标上执行代码，随着时间的推移，防御会越来越强，绕过也会变得越来越困难。Inceptor 是一个自动化 (绕过 AV/EDR) 工具，不需要你做额外的准备。 特性Inceptor 是一个基于模板的 Windows PE packer，旨在为渗透测试人员和红队人员提供绕过常见的 AV/EDR 方案。当时设计 Inceptor 这款工具的重点是要有可用性，并允许用户自定义。 如果想全面了解，以下资源可能会对你有所帮助： The path to code execution in the era of EDR, Next-Gen AVs, and AMSI Inceptor - Bypass AV-EDR solutions combining well known techniques ShellCode 转换和加载Inceptor 能够使用各种开源转换器将现有的 EXE/DLL 转换为 ShellCode： donut 由 TheWover 创建，可将 Native、DLL 和 .Net 二进制文件转换为单独的一块 Shel ...

本文翻译自：Offensive WMI - Interacting with Windows Registry (Part 3) :: 0xInfection’s Blog — Random ramblings of an Infected Geek. 这是 WMI 攻击手法研究系列第三篇，本文将重点介绍与 Windows 注册表的交互。在开始之前需要了解的一件事情是：MITRE ATT&CK 对查询注册表 (Query Registry) 归类于 T1012 以及它的修改 (Modify Registry) 归类于 T1112。 Windows 注册表是什么简单来说，注册表是一个存储操作系统配置设置的数据库：内核、设备驱动程序、服务、SAM、用户界面和第三方应用程序都使用注册表，这使得注册表成为攻击者非常关注的一个点。 注册表由称为 hives 的部分组成，例如 HKEY_LOCAL_MACHINE、HKEY_CURRENT_USER 等。检查 regedit.exe 中的注册表后，它们的排列方式似乎与文件系统类似，每个 hive 都有许多键，键可以有多个子键，键或子键 ...

本篇文章翻译自：Offensive WMI - Exploring Namespaces, Classes & Methods (Part 2) :: 0xInfection’s Blog — Random ramblings of an Infected Geek. 本篇文章是 WMI 攻击手法研究的第二篇，主要研究 WMI 中的 3 个组件，在整篇文章中，我们将交替使用 WMI 和 CIM cmdlet，以便熟悉这两种 cmdlet 类型。 命名空间让我们简单回顾一下命名空间是什么： 命名空间结构信息类似于文件系统中文件夹，但是，与物理位置 (例如磁盘上) 不同，它们本质上更具有逻辑。 WMI 中的所有命名空间都是 __Namespace 系统类的实例，要获取 root 命名空间下所有命名空间的列表，可使用以下命令查询同一个类： 1Get-WmiObject -Namespace root -Class __Namespace 输出的内容包含了许多信息，为了过滤掉 “无用” 信息，可使用 PowerShell 中的 select： 1Get-WmiObject ...

本篇文章翻译自：Offensive WMI - The Basics (Part 1) :: 0xInfection’s Blog — Random ramblings of an Infected Geek. 这篇文章是有关 WMI 的多篇系列文章中的第一篇，如果读者对 PowerShell 有个基本的了解，那么对阅读本篇文章会有所帮助，但这不是必需的。 介绍为何是 WMIWMI 是 Microsoft 的一组规范，旨在对 Windows 系统进行快速高效的管理。正如你可能知道的那样，一项安全规则表明任何对管理有用的东西也很容易被不法分子滥用，WMI 确实可以做很多事情 —— 从收集计算机状态和配置设置到运行应用程序和执行代码。此外，WMI 存在于所有可用的 Windows 操作系统版本中，因此这里的目标范围非常广泛。 什么是 WMI让我们快速回顾一些重要术语，WMI 是 Windows Management Instrumentation 的缩写，它是 Microsoft 对 CIM (Common Information Model，通用信息模型) 和 WBEM (Web- ...

本篇文章翻译自 Decoding Malicious PowerShell Activity – A Case Study IT 管理人员和安全专家经常会遇到一些看起来比较可疑的 PowerShell 命令，他们有时能够解开这些可疑的命令，但常常还得靠研究人员。本篇文章旨在让大家能够从下列项中来了解可疑命令的目的： Scheduled Tasks (预定任务)； RUN Keys in the Registry (注册表中的 RUN 键值)； Static PowerShell Scripts (PowerShell 静态脚本)； Proxy Logs (Web 服务被 RCE 利用下的代理日志)； 1powershell.exe -EncodedCommand JABzAHIAdgBzAHkAcw.. 以下为 Autoruns 导出的数据，数据来源于 Sophos 的检测。在检查日志后，可以发现以随机字符命名的服务名称出现，如下图中所示，圈起来的部分，它的属性看起来非常有趣： Autoruns 保存的数据文件为 arn 格式 按照常理来说，Windows Server 上 ...

环境操作系统：windows 10 2004 工具：VS2019、MASM32 如何编译汇编程序启动 VS2019，点击创建新项目，再点击创建空项目，如下所示： 创建好了之后，先不要急着创建新文件，这时需要先做一个操作，右键项目，在生成依赖中点击生成自定义，如下所示： 在弹出的生成自定义选项中在 masm 前面打上勾，因为后面我们创建的 asm 文件需要 masm 编译器，如下所示： 下面我们就可以创建 asm 文件写汇编代码了，如下所示： 为了更好的阅读我们写的汇编代码，需要安装一个汇编语言的语法高亮插件，点击扩展菜单栏中管理扩展选项，在插件市场中下载，插件名为 AsmDude，如下所示： 安装会要求重启 VS2019，重启后便可以开始愉快编写汇编代码了，最终尝试编译链接，如下所示： 示例代码： 123456789101112.386.model flat,stdcall.stack 4096ExitProcess PROTO, dwExitCode:DWORD.codemain PROC mov eax, 5 add eax, 6 invoke ...

本文翻译自：Evidence of VBA Purging Found in Malicious Documents 我们发现在有些恶意 Office 文档中仅包含 VBA 源代码，而没有包含已编译的代码，像这种的可能在逃避反病毒软件检测，我们将这种技术称之为 VBA Purging。 VBA Purging 技术恶意 Office 文档将 VBA 代码存储在复合二进制文件流中。每个 VBA 模块，类等都存储在它们自己的模块流中。一个模块流中包含与版本和实现有关的 PerformanceCache 数据 (已编译的 VBA 代码，也称 P-Code)，其后是 CompressedSourceCode 数据 (已压缩的 VBA 源代码)。 在 2016 年，Vesselin Bontchev 提到了一种可以删除/更改压缩的 VBA 源代码并执行 P-Code 的技术。在 2018 年年底，此项技术被称为 VBA Stomping。 当时的研究表明，还可以删除 PerformanceCache 数据，同时保持完整的 VBA 源代码可以执行，我们将此技术称为 VBA Purging。 ...

项目地址：https://github.com/samratashok/nishang 为什么今天会突然会介绍说明下 Nishang 呢，原因是在 VT 中看到了有脚本利用了这个框架，因此，便把它给记录下来 介绍NiShang 是一个框架，也是一个脚本和 Payloads 的集合，可在攻防、渗透测试和红队联盟中运用。NiShang 尤其是在渗透测试当中非常有用。 用法在当前 Powershell 会话中导入所有脚本 (适用于 Powershell v3 以后的版本) 1PS C:\nishang> Import-Module .\nishang.psm1 . 加上源来使用单个脚本文件 12PS C:\nishang> . C:\nishang\Gather\Get-Information.ps1PS C:\nishang> Get-Information 获取某个脚本和功能函数的帮助说明 1PS C:\nishang> Get-Help [scriptname] -full 注意：该帮助说明适用于运行脚本后的加载函数，而不是脚本本身 (0.3.8 版)。 ...

本篇文章翻译自：Customizing C2-Frameworks for AV-Evasion 这篇文章将会给大家阐述如何通过修改后的 Command & Control (C2) Frameworks 来逃避 AV 检测。 介绍在过去的几周，我参与了 红队队员的培训课程，在课程当中使用了基于 C2-Framework 的 Covenant，我从中获取到了一些经验。当开始学习这门课程时，并没有关于逃避 AV 检测和 C2-Customization 的说明，所以自己用 Covenant 做了关于这方面的内容，同时增加了 逃避 AV 检测，Rastamouse 在此 发布了关于此内容的一部分。 提示：Covenant 是一个具有攻击性的 .NET 命令和控制框架，可充当为红队队员协作命令和控制平台。 在这篇博客文章中，我将介绍如何通过更改 C2-Frameworks 源代码的方法来逃避 AV 检测。应当明确的是，由于我的方法是公开的，因此我的方法将在不久的将来会 get flagged，因此，我建议在这之后再创建你自己的项目。 注：关于 get flagged 的说明 - ...