识别SigFlip生成的恶意文件

最近在移植 med0x2e/SigFlip 的过程中发现了一个有意思的点,可以用来作为检测的手段 在 SigFlip 项目的 Detect/Prevent 一节中作者有提到一些检测防御手段 https://docs.microsoft.com/en-us/security-updates/SecurityAdvisories/2014/2915720?redirectedfrom=MSDN Once the patch is installed and proper registry keys are set, No system restarts are required, you only need to restart the Cryptographic Services. The Applocker service will be also restarted as it depends on the cryptographic services.(@p0w3rsh3ll) Yara rule by Adrien; https://twitter.com/Int2e_/status/1330975808941330432 从 SigFlip 源码中,其实也能发现一个点 SigFlip 依赖一串特定的字节来定位shellcode的位置,详见 Native/SigLoader/SigLoader/SigLoader.cpp#L102 和 Native/SigFlip/SigFlip/SigFlip.cpp#L232 1 2 3 4 5 6 7 for (_index = 0; _index < _CertTableSize; _index++) { if (*(_pePtr + _index) == 0xfe && *(_pePtr + _index + 1) == 0xed && *(_pePtr + _index + 2) == 0xfa && *(_pePtr + _index + 3) == 0xce) { printf("[*]: Tag Found 0x%x%x%x%x", *(_pePtr + _index), *(_pePtr + _index+1), *(_pePtr + _index+2), *(_pePtr + _index+3)); _dataOffset = _index + 8; break; } } 1 2 memcpy(_encryptedData, "\xFE\xED\xFA\xCE\xFE\xED\xFA\xCE", 8); crypt((unsigned char*)_data, _dataSize, _key, _keySize, (unsigned char*)_encryptedData + 8); 也就是说我们在证书表中定位到 \xFE\xED\xFA\xCE\xFE\xED\xFA\xCE 这段特征就可以断定它疑似 SigFlip 生成的 payload 了,想要更精准一些可以结合 https://twitter....

December 10, 2021 · 2 分钟 · 

将newsletter转为rss

相关的开源项目 https://github.com/leafac/kill-the-newsletter 作者提供了一个网站 https://kill-the-newsletter.com/ 来提供服务,截至20211119,至少已经提供了两年的服务了,所以稳定性还可 下面就是使用方法了 选择一个你要订阅的newsletter,比如 https://random-lab.ghost.io/ 打开 https://kill-the-newsletter.com/ ,输入你要给该订阅取的名字,比如我输入 1000小食报 ,然后点击 create inbox 然后会提供给你一个邮箱和一个rss订阅地址 将邮箱地址填入第一步中的订阅邮箱 将rss订阅地址加到你的rss阅读器 一般情况下你会收到的第一个订阅消息是叫你确认订阅,点击确认地址即可 下面说下原理: 首先需要有个邮服,然后每次创建inbox的时候随机生成一个邮箱,并且将此邮箱的收件箱内容转为rss订阅暴露出来

December 6, 2021 · 1 分钟 · 

网络空间检索平台对比

最近网络空间检索平台雨后春笋般涌现,本篇文章以一个使用者的视角来做一下对比 ...

October 27, 2021 · 2 分钟 · 

SonarQube钉钉通知插件

网上看到的钉钉通知插件已经不适用于最新的 SonarQube 了,所以自己花了点时间撸了一下 ...

September 29, 2021 · 1 分钟 · 

golang实现dll恶意劫持转发

本文章将讲解如何使用恶意的 Golang 来实现 dll 劫持转发 ...

July 22, 2021 · 9 分钟 ·