服务粉丝

我们一直在努力
当前位置:首页 > 财经 >

第54篇:蓝队分析辅助工具箱V0.43,新增内存马反编译分析及Jar包恶意类名搜索功能

日期: 来源:ABC123安全研究实验室收集编辑:abc123info

 Part1 前言 

大家好,我是ABC_123。年前写了这么一款蓝队分析辅助工具箱,看到很多朋友都在使用,于是我也抽出时间把很多功能进行了优化和更新。“蓝队分析辅助工具箱”就是把我平时写的蓝队小工具集合起来形成的,重点解决蓝队分析工作中的一些痛点问题。

欢迎关注我的公众号"ABC123安全研究实验室",ABC_123坚持99%原创,不抄袭文章,不发水文,不发广告


 Part2 使用说明及功能介绍 

  • 端口连接添加ip归属地址

假设甲方客户的内网主机中了恶意病毒,蓝队人员通常会执行netstat -an命令去查看每个端口或者进程连接国外ip地址情况。将netstat -an结果贴到工具中,点击“查询ip对应物理地址”按钮,程序就会在每一行结果后面,添加上每个ip地址对应的国家、城市、经纬度、国外大学等物理地址,方便蓝队人员快速定位出存疑的ip、端口、进程,而且此功能无需联网使用,断网情况下仍然可以用。本次更新优化了查询速度,基本上秒出结果。


  • 冰蝎及哥斯拉流量解密功能

编写这个功能耗费了我很大的精力,对于冰蝎webshell,从流量中找到秘钥即可解密。对于哥斯拉webshell,目前只支持java型webshell流量解密,其它功能后续再加上。由于哥斯拉低版本的1.x-2.x与3.x-4.x版本的流量加密过程稍微有点不一样,因此解密功能分开写了。


如下图所示,可以清晰看到攻击者具体进行了哪些操作,方便大家在编写蓝队分析报告,直观地将危害性反馈给甲方客户


如下图所示,可以清楚看到,攻击者使用哥斯拉webshell获取了服务器的当前环境变量等信息。


  • 新增5种Java内存马class文件反编译功能

通过调用Intellij Idea、CFR、Procyon、JD-Core、JDK等5种反编译工具接口,分别对Base64加密的class文件、转成Byte数组的class文件、BECL编码的class文件、Base64编码+Gzip编码的class文件、原版class文件反编译成java代码,方便蓝队人员分析异常流量中的内存马代码。

当然,此功能对于红队人员也特别方便,方便大家编写tomcat、springboot、weblogic内存马时进行class文件反编译对比分析。

 1  如下图示所示,程序对Base64加密的内存马class文件进行反编译分析。


 2  如下图示所示,程序对Byte数组的内存马class文件进行反编译分析。


 3  如下图示所示,程序对BECL编码加密的内存马class文件进行分析。


 4  如下图示所示,程序对Base64+Gzip压缩的内存马class文件进行反编译分析。


 5  如下图示所示,程序对class文件进行反编译分析。


  • Jar包搜索指定类名

对于蓝队人员,此功能可以在指定的jar包目录中筛选出含有恶意类名的jar包文件,现在很多红队人员制作的不死内存马,会将jar包中的class文件修改掉,关机重启后内存马仍然可用,那么这个分析功能会非常有用。

对于红队人员,在编写调试0day或者Nday的POC时,比如说weblogic中间件,它所包含的依赖jar包可能有上千个,查找存在漏洞的类究竟依赖于哪个jar包是非常头痛的一件事,这个工具可以帮您解决这个问题。在编写调试weblogic的poc时,ABC_123就是使用这个功能查找指定jar包依赖的。


  • 解密Shiro数据包/CAS数据包/Log4j2数据包功能

对于设备告警的Shiro反序列化攻击行为,部分蓝队分析人员,对Shiro反序列化攻击做不了研判工作,难以辨别是否是攻击行为,还是正常的业务行为,还是设备误报。于是我在解密数据包的同时,加入了数据包分析功能,可以快速研判是否有反序列化攻击行为。


如下图所示,该功能可以手工指定key对shiro数据包进行分析。


该功能可以解密日常遇到的攻击者用于绕过waf的加密混淆的log4j2的payload,通过此功能,蓝队分析人员可以得到攻击者的一个外网ip地址。如果遇到解不了的payload,记得公众号给我留言。


部分设备遇到CAS数据包就会告警,蓝队人员又无法确定是否是误报,本功能就是为了解决这个问题而写的,使用CAS默认秘钥对数据包进行解密,解密后就可以判断出是否是反序列化攻击了。


  • 编码/解码工具
在蓝队分析工作中,不少朋友反映没有一款好用的编码/解码工具,不是功能有bug,就是功能不全。比如说最简单的URL编码、16进制的Hex编码、Base64编码,很多工具就没有考虑到中文字符的GB2312、UTF-8编码问题,导致解密结果不正确或者是乱码。于是我仔细研读了网上的关于编码/解码的文章,对常用的编码/解码功能进行调试,写成了如下功能。看后续大家反馈,如果好用的话,我可以把“编码/解码”功能单独拎出来写一个工具,主要功能如下。
 1   更改软件界面,加入GB2312、UTF-8、GBK、BIG5、ISO-8859-1、GB18030等编码库,解决中文汉字在编码解码过程中产生的乱码问题。
 2   将“becl编码文件功能”中的becl编码类更换为“回忆飘如雪”师傅编写的Java类,解决部分JDK由于缺失相应的class文件而无法Becl编码的问题。
 3   新增“Hex编码二进制文件”功能,可以将二进制文件编码成16进制格式。
 4   将Base64编码功能统一更换为第三方jar包,使其通用性更强。
 5   支持将二进制文件转为byte数组格式。

同时还可以对二进制文件进行base64编码、hex16进制编码、BECL编码、转为byte数组等操作。

关注“ABC123安全研究实验室”公众号后,回复数字“0318”,即可得到此蓝队工具V4.3的下载地址

 Part3 总结 
1.  后续还会继续更新这个工具,有好的建议可以在公众号后台给我留言。
2.  冰蝎、哥斯拉数据包解密功能,后续有时间会更新。

3.  关注公众号回复“2022”,即可得到“2022年ABC123公众号年刊”的PDF电子书下载地址


公众号专注于网络安全技术分享,包括APT事件分析、红队攻防、蓝队分析、渗透测试、代码审计等,每周一篇,99%原创,敬请关注。
Contact me: 0day123abc#gmail.com(replace # with @)


相关阅读

  • 【恶意文件】RootFinder Stealer恶意文件通告

  • 恶意家族名称:RootFinder威胁类型:信息窃取简单描述:RootFinder 是一款基于 .NET 的窃密工具,该程序使用了 .NET Reactor进行多次混淆,运行时可以窃取主机信息和数十款浏览器的敏
  • 基于多传感器融合的定位和建图系统

  • 点击下方卡片,关注“新机器视觉”公众号重磅干货,第一时间送达转载自:深蓝AI分享嘉宾:林家荣文稿整理:William01 传感器介绍IMU(加速度计)的测量频率高,即可以精确的测量到物体的
  • 暴力解锁一切,这款国外软件绝对必备!

  • 大家晚上好呀,我热心网友又回来了!经常在一些非官方渠道下载各种资源的我经常会碰到一些始料未及的情况,这不,最近就又碰到了:前几天专门找了不少桌面美化的软件,涵盖动态壁纸、窗

热门文章

  • “复活”半年后 京东拍拍二手杀入公益事业

  • 京东拍拍二手“复活”半年后,杀入公益事业,试图让企业捐的赠品、家庭闲置品变成实实在在的“爱心”。 把“闲置品”变爱心 6月12日,“益心一益·守护梦想每一步”2018年四

最新文章

  • 2022年全球一次性电子烟市场规模约63.4亿美元

  • *吸烟有害健康,未成年人禁止使用电子烟,不建议非烟民使用电子烟市场咨询公司Future Market Insights近期对全球一次性电子烟市场进行了分析,提供了 2017-2021 年的历史数据和 2