随手记

一、针对安全研究人员的POC投毒事件

  1. 钓鱼文件反制
    1. cobalt strike有个钓鱼攻击模块(Scripted Web Delivery),利用python语言可以做到免杀的效果 - 写个bat脚本,然后将shell脚本命令写在里面,然后通过伪装一下诱导攻击者去点击(例如zip压缩包自解压执行)
    2. 制作免杀exe木马,然后伪装成防守单位的远程vpn程序
    3. bat脚本除了压缩包自解压运行之外,还可以利用工具将bat文件转成exe程序去伪装。

二、技术分享|微信小程序绕过sign签名思路

  1. 绕过sign验证常见手法

    1. 观察sign的格式
    2. 尝试将sign字段删除或者直接置空sign的值,看能否绕过校验。
    3. 尝试反编译,在反编译出来的源代码中查找加密算法,找到sign的生成方式。

  2. 测试涉及到的工具

    1. 解密小程序源码工具
    2. 反编译小程序工具

  3. 测试细节

    1. 反编译小程序

      首先需要找到该小程序存储位置,针对windows端来说,微信小程序默认的存储位置(C:\Users{系统用户名}\Documents\WeChatFiles\Applet{小程序ID}\),因为这里存储都是以小程序ID进行命令的,因此可以先清空微信中的小程序,再去打开想要测试的小程序。

    2. 解密后使用反编译工具进行源码提取

    3. 全局搜索加密函数位置

    4. 回调代码

  4. 得到sign生成方式

    app_id + method(接口,根据这个来分辨调用哪个接口)+ nonce_str(时间戳) + biz_content内容 + token (登录小程序获得)+ 固定值(ihos-mini-sign-8)

  5. 拓展--burpy插件使用

    1. 打开enable processor之后,在使用Intruder进行暴力破解之类的动作时,如果payload需要进行加密或签名,就可以把加密/签名的算法实现到自己有python脚本的processor函数中。
    2. 打开enable auto。enc/dec会自动调用encrypt方法,在点击重放时自动进行加解密。

二、CDN/域前置/云函数-流量分析|溯源

  1. CDN隐藏C2地址
    1. 使用DNSQuerySniffer和Process Monitor定位进程
    2. 网络流量分析(一个一个数据包翻找确实难受,再加上是HTTPS流量,配合HIDS等设备导入数据包分析起来可能更好一些)
  2. CDN隐藏C2地址缺点
    1. 受控主机通过我们自己的域名进行回连,对外还是可以看到连接域名(下一步就是找到CDN后的真实IP),域名会暴露
    2. 受控主机还是通过我们自己的域名进行回连,对外还是能看到连接域名;且如果使用国内CDN的服务(增加了风险),域名就必须完成ICP备案(增加了风险);而且还有一些方法可能溯源到真实IP
  3. 域前置隐藏
    1. 微步可以找到最终的CS服务器域名
  4. 域前置隐藏缺点
    1. 配置和准备条件较多步骤比较复杂,国内好像只有阿里云支持域前置,建议还是使用国外的cdn服务,不需要备案,再加上免杀的话效果可能更好一些
  5. 云服务API网关/云函数
    1. api网关透明转发代理后端服务!;云函数底层使用的就是api网关,只是云函数的功能更高级一点,当client调用网关接口时,通过编程进行修改输入参数;同理api网关接受到代理的后台服务返回的内容是可以再次修改返回内容,最终将信息返回给client;
    2. 无法找到真实ip
    3. 关于溯源如果可以的话,可以联系腾讯云客服配合调查

周末待看