2020-12-23 11:03 2020年即将结束，我看过许多不同种类的杀毒规避方法。值得注意的是，之前的反钩挂技术再次兴起，可以应用于AV和EDR系统。如果我们被钩住了，那是谁在钩我们？若要检查杀毒软件或EDR系统是否已经安装好，可以用WMIC查询Windows安全中心记录的杀软。 wmic /node:localhost /namespace:\\root\SecurityCenter2 pathAntiVirusProduct Get DisplayName | findstr /V /B /C:displayName || echo NoAntivirus installed（由StackOverflow的Sam Denty提供） 该方法适用于大多数情况。但如果杀毒软件或EDR系统注册了Windows安全中心的命名空间，那么该方法只返回一个字符串。如果软件尚未注册，那么查询失败。由于我们依靠的是安全无毒的软件来注册，我决定用不同的路径。本文用于记录杀毒后的残留物：计算机上的杀软能指出是否已经安装了安全无毒的软件，这样一来，我们就不用依赖Windows安全中心的命名空间。...

2020-12-29 10:01 “ 在过去的几年里，我们发现许多组织的Windows Server Update Services（WSUS）部署都很脆弱，但没有工具可以向客户端表明该漏洞的风险。出于这些原因，在接下来的文章系列中，我们将描述该漏洞，探索其攻击媒介，并发布新工具来对该漏洞进行武器化，然后证明其影响。 ” 攻击配置有误的WSUS 2015年，Alex Chapman和Paul Stone发布了POC工具，可在执行中间人攻击（MITMA）时攻击Windows更新，这在BlackHat的“ WSUSpect –通过Windows 更新攻击Windows 企业版”的演讲里有说过，其介绍了第一次攻击。本节将会概述攻击。 WSUS能让组织中的系统管理员集中管理Microsoft向一组系统发布的更新和修补程序的分发。攻击是靠滥用WSUS的默认配置：在首次配置服务时，没有强制使用HTTPS，如图1所示。...

2020-12-31 17:48 本系列文章讨论如何利用Windows Server Update Services（WSUS）进行攻击，这是第二篇文章。 Part 1里，我们在Windows 10上创建工具PyWSUS，成功复现了2015 WSUS攻击，同时，我们认为该模块可以用于其他目的。 用WSUS进行部署，用户可以为其会话设置本地代理。如果WSUSpect-proxy模块只用来修改部分流量的MITM代理，同时我们也有代理本地流量的能力，那么我们就能在本地运行WSUSpect-proxy，以System权限在目标上运行代码。 CVE-2020-1013的影响 Windows 10的所有版本，Windows 7 SP1，Windows...

2021-01-04 10:32 01介绍 低权限用户持久化技术非常有价值。我们一直喜欢研究新奇的技术，这些技术很少有人涉猎，蓝队对它们也很感兴趣。本文将讲到Outlook的持久化技术，但目前，很多蓝队没有关注该技术。 此前，已经有多位研究人员研究过基于 Outlook 的持久化这个话题，包括Dave Hartley和Nick Landers，他们详细介绍了如何使用Outlook规则来实现持久化。 但在本文中，我们会重点介绍使用Outlook的VbsProject.OTM文件，通过不同的操作来实现相似的结果。虽然这个技术尚未得到普及，但之前Cobalt Kitty就把它当作命令和控制通道用过。 02分析 与大多数Microsoft Office产品一样，Outlook能够启用“开发人员”选项卡，通过VB编辑器创建基于VBA的宏。打开编辑器，创建一个简单的宏，就能找到一个名为“...

原创 Hades 2021-01-06 18:24 背景 在日常样本狩猎中我们发现了一则比较有意思的FIN7 APT组织的攻击样本,该样本在被分析人员发现后依旧能够在VT上保持较高的免杀率,故分析下该样本的逃逸手法. 样本 分析 第一部分载荷 由于只狩猎到了第一部分的载荷以及后续模块,故该样本的初始投递触发尚不清楚. 该模块下文简称”Load1”,该Load1模块为PowerShell的执行脚本. 该Load1首先定义了变量body用于存放加密的后续脚本模块. 随后调用GetTempFileName随机生成的文件名称,并拼接.ps1的后缀成为完整的文件名.(这句代码后续并没有什么作用,推测是做测试时留下的.) 调用FromBase64String将body中的编码字符进行解密....

2021-01-11 10:02 描述 2019年11月，通过Workflow代码注入在SharePoint Online执行远程代码的问题报告给了Microsoft，这个漏洞在在线平台上马上得到了解决。但2020年1月才在.NET Framework修补了主要漏洞。所以，没有2020年1月.NET补丁的SharePoint本地版本仍然会受到影响。 注意，如果IIS支持.XOML扩展名，文件上传攻击也可能滥用这个漏洞。 这个漏洞的影响与下面之前发现的漏洞相同（它们都影响相同的模块），但是它用了不同的技术，且不会绕过已实施的修复程序： https://www.nccgroup.trust/uk/our-research/technical-advisory-bypassing-workflows-protection-mechanisms-remote-code-execution-on-sharepoint/...