标签归档:后门

对 Mirai 病毒的初步分析——物联网安全形式严峻

前几天,半个美国的吃瓜群众纷纷表示上不了网了。经过各种调查,发现是一个代号为 Mirai(日语:未来)的病毒感染了物联网设备,形成了一个僵尸网络,最终这个超大型的僵尸网络向美国某 DNS 公司的服务器发起了 DDoS 攻击。Mirai 的 C 语言源码在网上很容易获取到,刚好我最近在上计算机病毒课,于是就下载下来研究了一下,顺便看一下以自己现在的能力可以理解到哪一步。

下载下来之后粗略看了一下,第一感觉就是作者的代码风格真的是超级好!不光代码格式很赞(虽说大括号放到了下一行),而且变量名、文件名都很有目的性,重要的地方都写了注释或者打了 log,因此分析起来还是相对比较简单的。


目录结构

Mirai 源码目录结构是这样的:

Mirai_Source_Code
├─loader           # 加载器
│  ├─bins          # 一部分二进制文件
│  └─src           # 加载器的源码
│      └─headers
└─mirai            # 病毒本体
    ├─bot          # 攻击、扫描器、域名解析等模块
    ├─cnc          # 使用 go 语言写的服务器程序
    └─tools        # 存活状态检测、加解密、下载文件等功能

继续阅读

关于ssp后门的一些补充

之前在乌云转载了三好学生的这篇文章,详细讲述了什么是SSP(Security Support Provider) 以及如何使用 mimilib.dll&注册表 来维持域控权限。这里再记录一下如何使用mimikatz的ssp注入lsass进程来实现记录密码的目的(重启失效)

1

这个新注入的ssp可以记录计算机账户密码,运行服务凭据和登陆的任何账户

在非域环境下测试,生成的密码记录文件默认位置在 system32\mimilsa.log

2

防御方法:

监控cmd和powershell在域控上的运行

 

域渗透——Hook PasswordChangeNotify

0x00 前言


在之前的文章中介绍了两种维持域控权限的方法——SSPSkeleton Key,这两种方法均需要借助Mimikatz来实现,或多或少存在一些不足,所以这次接着介绍一个更加隐蔽且不需要使用Mimikatz的后门方法——Hook PasswordChangeNotify.

0x01 简介


Hook PasswordChangeNotify这个概念最早是在2013年9月15日由clymb3r提出,通过Hook PasswordChangeNotify拦截修改的帐户密码。

需要了解的相关背景知识如下:

继续阅读

域渗透——Skeleton Key

0x00 前言


上篇介绍了利用SSP来维持域控权限,美中不足在于其需要域控重启才能生效,而在众多的域渗透方法中,当然存在不需要域控重启即能生效的方法,所以这次就介绍其中的一个方法——Skeleton Key

0x01 简介


  • Skeleton Key被安装在64位的域控服务器上
  • 支持Windows Server2003—Windows Server2012 R2
  • 能够让所有域用户使用同一个万能密码进行登录
  • 现有的所有域用户使用原密码仍能继续登录
  • 重启后失效
  • Mimikatz(Version 2.0 alpha,20150107)支持 Skeleton Key

继续阅读

域渗透——Security Support Provider

0x00 前言


在之前的文章中介绍了一些域环境中的渗透方法和技巧,所以这次接着介绍一个用来维持域控权限的方法——SSP.

1

0x01 简介


SSP:

Security Support Provider,直译为安全支持提供者,又名Security Package.

简单的理解为SSP就是一个DLL,用来实现身份认证,例如:

继续阅读