基于Python实现的Koadic恶意软件分析Part 1

栏目: Python · 发布时间: 6年前

内容简介:我在一次偶然的机会中了解了Koadic这款工具,于是我决定制作一个在这篇文章中,我们将对Koadic的能力和架构做一个简单的介绍。Koadic有一个特点就是允许攻击者能够随时更改代码,来迅速适应新的环境。稍后我将在本系列文章中讨论这个问题,但是很明显,您需要将注意力从Windows事件日志转移到底层文件系统上。首先,我们在AWS环境中的一个Ubuntu实例上安装了Github上的软件。我们遇到了一些困难,但这很快就被解决了——重新安装了Koadic的Python模块。是的,Koadic的服务器端都是基于p

写在前面的话

我在一次偶然的机会中了解了Koadic这款工具,于是我决定制作一个 “javascript rundll32 exploit” 的关键字组合,看看会出现什么。所以我开始了Koadic后期开发rootkit之路,学习Koadic可以参考Sean Dillon和Zach Harding在Defcon上的演示。Koadic类似于 PowerShell Empire ,拥有基于脚本的stager和植入设备功能。然而,关键的区别在于,Koadic依赖于受害者计算机上的JavaScript和VBScript。但如今安全团队更加关注在Windows事件日志中寻找不寻常的PS活动。我想这可以称为 JavaScript Empire

开始

在这篇文章中,我们将对Koadic的能力和架构做一个简单的介绍。Koadic有一个特点就是允许攻击者能够随时更改代码,来迅速适应新的环境。稍后我将在本系列文章中讨论这个问题,但是很明显,您需要将注意力从Windows事件日志转移到底层文件系统上。首先,我们在AWS环境中的一个Ubuntu实例上安装了Github上的软件。我们遇到了一些困难,但这很快就被解决了——重新安装了Koadic的 Python 模块。是的,Koadic的服务器端都是基于python的。为了完成工作,Koadic利用了Windows二进制代码,这些二进制代码会偷偷地引入远程JavaScript或VBScript。让我们假设 mshta stager (测试中使用的stager)是通过钓鱼邮件发送给受害者的。一旦激活,Koadic就会创造出 “zombie” 。这是他们对受害者机器的控制方式。

基于Python实现的Koadic恶意软件分析Part 1

在一个实际的笔试场景中,第一个任务就是要解决who和where问题。输入 “info” 命令来查看基本参数是什么,然后相应地设置它们。

基于Python实现的Koadic恶意软件分析Part 1

第二步

一旦掌握了基础知识,就可以帮助您发现您所使用的Windows环境的完整限定域名(FQDN)。正如我们将看到的,您将需要域名离开最初被黑客入侵的计算机。为此,我需要通过将 cmd 参数设置为 GetHostByName($ env:computerName) 来使用PowerShell。它是一个良性的 PS cmdlet

基于Python实现的Koadic恶意软件分析Part 1

简而言之:Koadic内置支持获取重要的环境信息,当然还有运行 shell 命令填补空白的能力。顺便说一下,可以在Github主页上找到所有命令的描述。

第三步

除非黑客运气爆炸,登陆的服务器上有数百万个未加密的信用卡号码,否则她需要跳到另一台计算机上。这样做的方法是获取域级凭据,最终找到具有提升权限的凭据,然后执行横向渗透。曾几何时,我写过如何使用 mimikatzpsexec 这样做。Koadic已经提供了一个基于 mimikatz 来从SAM存储器中检索凭证,另一个用于支持 psexec 。小提示:您必须将 psexec 可执行文件显式上传到受害者的计算机并设置路径名称。例如,要检索凭证,我运行了 implant/inject/mimikatz_dynwrapx

基于Python实现的Koadic恶意软件分析Part 1

您可以看到NTLM哈希,如果需要,您可以离线破解。但是您还可以利用wdigest安全漏洞,获得纯文本密码。我不会在这篇文章中展示如何进行实际的横向移动,但您可以在下面看到 implant/pivot/psexec below 的设置: 基于Python实现的Koadic恶意软件分析Part 1


以上所述就是小编给大家介绍的《基于Python实现的Koadic恶意软件分析Part 1》,希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。在此也非常感谢大家对 码农网 的支持!

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

挑战程序设计竞赛

挑战程序设计竞赛

秋叶拓哉、岩田阳一、北川宜稔 / 巫泽俊、庄俊元、李津羽 / 人民邮电出版社 / 2013-7-1 / CNY 79.00

世界顶级程序设计高手的经验总结 【ACM-ICPC全球总冠军】巫泽俊主译 日本ACM-ICPC参赛者人手一册 本书对程序设计竞赛中的基础算法和经典问题进行了汇总,分为准备篇、初级篇、中级篇与高级篇4章。作者结合自己丰富的参赛经验,对严格筛选的110 多道各类试题进行了由浅入深、由易及难的细致讲解,并介绍了许多实用技巧。每章后附有习题,供读者练习,巩固所学。 本书适合程序设计......一起来看看 《挑战程序设计竞赛》 这本书的介绍吧!

CSS 压缩/解压工具
CSS 压缩/解压工具

在线压缩/解压 CSS 代码

随机密码生成器
随机密码生成器

多种字符组合密码

HEX CMYK 转换工具
HEX CMYK 转换工具

HEX CMYK 互转工具