3 [通用GITHUB投毒免杀工具安装木马攻击活动的详细分析]

置顶 已于 2025-02-02 11:02:39 修改
阅读量3.5w 收藏 21
点赞数 23
分类专栏: GitHub 文章标签: github 开源
于 2025-02-02 10:29:27 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/vbnetcx/article/details/145418200
版权

前言概述

通过github投毒的攻击事件之前发生过不少,笔者此前也分析过好几例,有些网友也给笔者发过一些相关的攻击样本,大家从网上下载的安全工具或免杀工具一定不要随便在自己机器上运行,很有可能这些工具就自带后门木马,偷偷摸摸就给你安装了一个后门在你电脑上监控你。
近日笔者发现了一个免杀工具被修改,然后利用github上投毒,原版的免杀工具是开源的,如下所示:
 


攻击者在2024年5月7日,加入github项目,然后上传带有后门的工具,如下所示:
 


攻击者一共上传了三个相关的工具,如下所示:
 


最新上传的工具,如下所示:
 


笔者对这个github上的几个工具攻击样本进行了详细分析,供大家参考学习。

详细分析

Origami-Crypter-Packer-Bypassing-WD与FUD-Crypter-Windows-Defender样本分析

1.样本下载解压缩之后,包含两个文件,如下所示:
 


2.Origami.exe程序在入口点代码处添加了恶意代码,会从网上下载执行恶意脚本,如下所示:
 


3.Runtime.dll程序在入口点代码处添加了恶意代码,会从网上下载执行恶意脚本,如下所示:
 


4.上面两个程序连接远程URL链接tinyurl[.]com/win-nt 下载的恶意脚本,如下所示:
 


5.恶意脚本会在%temp%上生成一个恶意模块文件DriverDiagnosis.dll,并设置为系统隐藏属性,然后通过REGSVR32程序调用该恶意模块,如下所示:
 


6.恶意模块从远程服务器下载执行恶意脚本,如下所示:
 


7.从URL链接下载的恶意脚本,如下所示:
 

最低0.47元/天 解锁文章
论文阅读:2024 arxiv Trojan Activation Attack: Red-Teaming Large Language Models using Activation Steerin
CSPhD-winston的博客
04-12 606
为了保证人工智能安全,经过指令调整的大语言模型(LLMs)专门接受训练以确保对齐,也就是让模型按照人类意图行事。虽说这些模型在各种安全基准测试中取得了不错的成果,可它们在安全对齐方面的脆弱性却没有得到充分研究。鉴于大语言模型可能造成潜在危害,这一情况着实令人担忧。现有的针对大语言模型的攻击手段,常常依赖被污染的训练数据或者注入恶意提示。这些方法既破坏了攻击的隐蔽性,又影响了通用性,很容易被检测出来。此外,实施这些攻击通常需要大量计算资源,在实际应用场景中不太实用。
信息收集与查询
weixin_67879598的博客
04-07 1488
在进行目标渗透测试之前,最重要的一步就是收集信息,在这阶段要尽可能的收集目标的信息对目标了解的越多,之后进行的测试就越容易。 信息收集的一般方法 一. Whois查询 1.1whois是一个标准的互联网协议,在3whois查询中,能找到很多跟域名有关的信息,例如域名注册时间,域名所有人,一般的小型网站域名所有人是网站管理员。 常用的查询网址有爱站(https://whois.aizhan.com)站长之家(http://whois.chinaz.com)和Virus Total(...
简单介绍
qq_38675102的博客
01-05 3005
简单介绍
APT之木马动态绕过Windows Defender
Ba1_Ma0的博客
08-12 1994
APT之木马动态绕过Windows Defender
技术学习
2401_84789397的博客
04-10 546
技术(Antivirus Evasion Techniques)是指恶意软件通过各种手段规避毒软件检测的技术方法,已成为现代网络攻击中的重要环节。本文系统研究了当前主流的恶意软件技术原理及实现方法,包括特征码修改、行为混淆、内存注入、加密变形等技术手段,分析了各类技术的优缺点及适用场景。本文旨在系统分析当前主流的技术实现原理,探讨其技术特点及防御方法,为信息安全领域的研究提供参考。实验结果表明,随着技术复杂度的提高,检测规避效果显著提升,但同时也增加了实现难度和被发现的风险。
网安技术、加壳、加密、方法(入门资料)
白帽黑客鹏哥的博客
12-07 1841
每种类型的恶意软件都采用不同的反检测技术,包括病毒、木马、僵尸程序、流氓软件、勒索软件、广告程序等。本文将重点介绍在stager阶段使用的meterpreter这种有效载荷的工具,因为几乎所有恶意软件的攻击命令执行都依赖于meterpreter。例如提权、凭证窃取、进程迁移、注册表操作等。Metasploit Framework作为一个漏洞利用和测试平台,集成了多种平台上的溢出漏洞和流行的shellcode,并持续更新,使得缓冲区溢出测试变得方便简单。
(超实用教程)利用MSF制作exe程序木马
star010-的博客
02-01 329
k:保护模板程序的动作,注入的payload作为一个新的进程运行。-a:指定payload的目标架构,比如:x86 | x64。-c:指定一个附加的win32 shellcode文件。-n:为payload预先指定一个NOP滑动长度。:remote host(远程主机)【被攻击机】-s:设定payload的最大长度(文件大小):local host(本地主机)【攻击机】-x:指定一个自定义的可执行文件作为模板。-p:指定需要使用的payload。-o:保存payload文件输出。-b:使用规避字符集。
AI后门检测论文翻译:Universal Litmus Patterns: Revealing Backdoor Attacks in CNNs
一个平平无奇的甜妹
11-16 1713
翻译 Universal Litmus Patterns: Revealing Backdoor Attacks in CNNs 代码链接:https://umbcvision. github.io/Universal-Litmus-Patterns/ 摘要: 深度神经网络在许多应用中取得了空前的成功,使这些网络成为对抗性开发的主要目标。 在本文中,我们介绍了一种基准技术,用于检测深度卷积神经网络(CNN)上的后门攻击(比如木马攻击)。 我们介绍了通用石蕊模式(ULP)的概念,该概念通过将这些通用
端口渗透总结
Coisini的博客
06-13 1393
x00 背景 在前段时间的渗透中,我发现通过端口来进行渗透有时会提升我们的效率,所以才有了这篇文章的诞生; 首先分享一份关于端口及他们对应的服务文件:https://yunpan.cn/cYyNXEpZNYvxQ 访问密码 983e 这里再分享一篇我曾经在百度文库提交的端口渗透文章:请点我 再次看这篇文章发现写的很简单,也只描述了几个常见的端口渗透;而且一般我们都是可以修 改默认端口的,所以平...
黑帽python第二版(Black Hat Python 2nd Edition)读书笔记 之 第七章 GitHub命令与控制(2)构建基于GitHub的特洛伊木马框架
阿尔泰野狼的博客
10-19 506
本文记录了博主在阅读Black Hat Python 2nd Edition过程中的心得与踩坑经历。
python渗透测试入门之github木马
ailx10
06-16 1024
近期收到了电子工业出版社赠送的一本网络安全书籍《python黑帽子》,书中一共24个实验,今天复现第18个实验(github c&c控制),我的测试环境是mbp电脑+github+conda开发环境。这个实验非常有趣,将“木马”(python脚本)投递到僵尸主机上并运行,然后就能自动将环境变量和文件信息同步到github仓库中,ailx10提醒您,陌生的链接千万不要点击,千万不要运行,否则...
木马概述
0pt1mus
02-05 1416
转自个人博客:super.j的博客 0x00 木马概念 这篇主要讲的是木马的隐藏和发现技术。偏综述,没有具体的技术。 名词解释: 名词 解释 木马 隐藏在正常程序中的有特殊功能的恶意代码,如破坏删除文件、发送密码、记录键盘和攻击Dos等特殊功能的后门程序。 病毒 编制者在计算机程序中插入的破坏计算机功能或者数据的代码,能影响计算机使用,能自我复制的一组计算机指令或者程序代码。具...
GitHub万星推荐:黑客成长技术清单
imgxr的博客
08-15 2584
最近,在reddit安全板块和Twitter上有个GitHub项目很火,叫“Awesome Hacking”。 “Awesome Hacking”在reddit上有超过四百个赞,但管理员后来认为不适合该板块(Awesome类项目没有新的内容),给了“reject”。这个项目由Twitter账号@HackwithGithub维护,混Twitter的安全爱好者应该了解,在@HackwithGithu...
最新webshell大合集
热门推荐
帮助别人等于帮助自己 ——MXi4oyu
09-01 3万+
收集与整理了各种webshell,以便在日后的项目中做Webshell检测训练。 https://github.com/tennc/webshell   各种webshell集合 https://github.com/ysrc/webshell-sample webshell样本 https://github.com/xl7dev/WebShell Webshe
常用技术方法
whatday的专栏
04-23 8077
00. 概述 什么是?来自百科的注解: ,也就是反病毒(AntiVirus)与反间谍(AntiSpyware)的对立面,英文为Anti-AntiVirus(简写Virus AV),逐字翻译为“反-反病毒”,翻译为“反毒技术”。 有本比较有名的书,想详细学习的同学可以去看看。《黑客攻防》 其实我大概好像只看过目录…( ╯□╰ ) 下面我介绍的是自己实践的一些方法,有没...
技术有一套(方法大集结)(Anti-AntiVirus)
anhkgg的专栏
05-22 1万+
00. 概述什么是?来自百科的注解: ,也就是反病毒(AntiVirus)与反间谍(AntiSpyware)的对立面,英文为Anti-AntiVirus(简写Virus AV),逐字翻译为“反-反病毒”,翻译为“反毒技术”。 有本比较有名的书,想详细学习的同学可以去看看。《黑客攻防》 其实我大概好像只看过目录…( ╯□╰ ) 下面我介绍的是自己实践的一些方法,有没有效果,试试就
《Python黑帽子:黑客与渗透测试编程之道》读书笔记(六):基于github木马
闵行小鱼塘
06-08 683
《Python黑帽子:黑客与渗透测试编程之道》的读书笔记,会包括书中源码,并自己将其中一些改写成Python3版本。书是比较老了,anyway,还是本很好的书。本篇是第7章基于github木马
GitHub 趋势日报 (2025年05月18日)
最新发布
qianmoQ - 关注云计算,关注大数据
05-19 1204
本日报由 TrendForge 系统生成 https://trendforge.devlive.org/🌐 本日报中的项目描述已自动翻译为中文。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

学编程的闹钟

自愿打赏

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值