收到某红队钓鱼,好家伙不跳chrome官方跳到阿里oss???
image.png
下载分析一波,初始化加载后会继续下载一个exe
image.png
放机子里运行外链到该地址
image.png
cs马额...
image.png
继续分析word.exe,该程序为伪造word文档图标的Cobalt Strike加载器。通过C&C交互下载后续载荷,内存解密Beacon远控木马执行。
image.png
当前tls层链接ip均为cdn,以此方式隐藏真实IP。域前置发送host为search.baidu.com。
image.png
整个流程差不多这样子:
image.png
目标太复杂了....估计vpn是公安提供的.....没后续 再见ntmd
域前置所使用CDN服务器
221.230.142.27:443
43.243.235.149:443
117.12.41.16:443
111.170.8.210:443
163.171.210.190:443
110.188.68.242:443
域前置Host
收到某红队钓鱼,好家伙不跳chrome官方跳到阿里oss??? 下载分析一波,初始化加载后会继续下载一个exe 放...
前言在红队攻防中,我们主要在外网进行信息收集,通过cms或者其他漏洞拿到shell,之后通过免杀木马将window...
一、 背景 本次挖矿木马的应急事件,配合老师给的信息,结合动态分析、静态分析的方法,对该木马进行了深入的分析,初步...
0. 加密流量分析的现状 现在越来越多的病毒,木马,C&C控制,多采用加密的方式进行传输数据或控制, 所以导致现在...
SSL加密的反弹shell: 0x01 使用OpenSSL对nc进行流量加密: 生成 SSL 证书的公钥/私钥对:...
PHPwebshell 流量加密分析 目前市场上的安全设备对于恶意数据流都可精准检测其特征,而常规的一句话木马、菜...
1.流量 A分析目标 分析流量变化及来源,监控流量趋势想办法提高流量 B分析角度 观察日常及活动流量规律,安排活动...
质管中心蔡明阳攀高突击队队员黄立中和段伟红在蜡油加氢分析。
一.网站数据分析常用维度 流量、来源、页面、访客 1.流量 流量包含两方面内容:流量趋势分析和当前实时流量 流量趋...
layout: posttitle: 记一次木马分析categories: Reverse_Engineering...
本文标题:红队的木马流量分析
本文链接:https://www.haomeiwen.com/subject/corclltx.html
网友评论