之前一直听说有人用 Gmail, Pastebin 做木马信息的中转,随后我发现只要是调用合法的第三方应用 API,杀毒软件就不会发现,尤其是当攻击者不直接控制木马(就变成了病毒)的时候。所以,我打算称这种为静态病毒(可能有其他名字吧但我没搜到),即在散播前已经设定好功能并且通过第三平台回传信息的病毒。然后,我做了个 PoC,大家可以看看我的 repo 哟,欢迎大家来体验一下,大佬轻喷,刚学 Python!
1
Rhinecho 2019-06-23 07:37:59 +08:00 via Android
已献上 star
|
2
whileFalse 2019-06-23 07:39:19 +08:00 via iPhone
这玩意和以前盗号发邮箱的玩意有啥区别。
|
3
co3site 2019-06-23 08:33:55 +08:00 via Android
Python 2.7, emmm
|
4
widewing 2019-06-23 08:41:08 +08:00 via Android
额 恕我直言 没看出这和其他病毒有啥区别自己为啥能 bypass 杀软
|
6
crab 2019-06-23 09:26:25 +08:00
主动防御类软件有对外网络请求都能提示吧?
|
7
nicevar 2019-06-23 09:59:15 +08:00
这能算病毒吗?国产流氓软件的基本功能。。。
|
8
RadishWind 2019-06-23 11:12:20 +08:00
怎么说呢,这个是有用的,类似于之前的证书免杀,不过出名了估计就不好用了,而且这也只是个 demo,:)加油!
|
9
blless 2019-06-23 11:30:14 +08:00 via Android
病毒关键点在于怎么传播跟执行吧…你这个怎么看都已经跳过最核心的行为了
|
10
binux 2019-06-23 11:30:27 +08:00
反射 /反弹木马
|
11
litss 2019-06-23 13:45:03 +08:00 via Android
Reame 写的很棒,加油
|
12
litss 2019-06-23 13:45:35 +08:00 via Android
Reame → README
|
13
Akkuman 2019-06-23 15:45:44 +08:00 via Android
给个思路,pe loader (更像自写壳了)与公共知名服务作为 c2
|
14
Cloutain 2019-06-24 09:44:51 +08:00
emmm... 前几年分析过一些病毒,当初许多网站没有实名,病毒作者懒得自己搭收信了,用病毒在某些博客靠读写博文留言来实现收发信
至于免杀... 特征码好搞 启发式和云查杀操蛋 主防坑死作者 |