主页 > 网络知识 > 攻防战中的绝密武器

攻防战中的绝密武器

最近在内网中发现了9款攻击者使用的工具,其中6款工具国内的安全软件都无法检测。

1、进程隐藏工具libprocesshider.so

此工具作用为劫持系统的readdir64和readdir函数,隐藏”proxy”进程。

核心功能如下图:

当readdir函数被调用时,先调用系统的readdir函数,在readdir返回的进程名字里面去比较进程名字是否含有”proxy”,如果是proxy进程,则不将readdir的结果返回给调用者,以此达到隐藏进程的目的。

根据virustotal信息,此工具国内杀软无检测:

2、流量代理工具proxy

Proxy为Dog Tunnel(狗洞),https://github.com/vzex/dog-tunnel/,go语言编写的流量代理工具:

根据virustotal信息,该工具无安全软件检测:

3、冰蝎一句话木马AdvanceSearchStyle.jsp

作为新型加密网站管理客户端,冰蝎算是作为中国菜刀的替代者。此次发现的样本为冰蝎JSP一句话木马:

冰蝎一句话木马相对于传统的一句话木马的优点是传输内容进行了AES算法加密,使得流量抓取也无法分析攻击者行为。

Virustoal检测结果:

冰蝎客户端提供了丰富的shell管理功能:

加密传输的流量样本:

4、JSP WEB后门live_index_bank3.jsp

这是一个常规的JAVA WEB后门,通过调用.jsp?nox=”命令”来执行命令

Virustoal检测结果:

模拟环境中调用如图:

5、Linux辅助提权工具LinEnum.sh

LinEnum.sh脚本是一个shell脚本,可以自动执行65个以上的Linux命令,当攻击者尝试提高目标系统上的权限时,这些命令对信息收集可能会非常有用。

说点什么吧
  • 全部评论(0
    还没有评论,快来抢沙发吧!