呂守箴(OpenBlue) => 網路攻防戰~資安閒聊群組: 標題："無文件"攻擊方式滲透實驗摘要：原作者前幾天看了一個文章《全球上百家銀行和金融機構感染了一種無文件惡意程序，幾乎無法檢測》，覺得powershell很是神奇，自己希望親手實驗一下，以最大程度還原無文件攻擊方式。 poweshell 加載外部的exe進入內存執行，從而不在受害主機裡面留下任何痕跡，而且也可以繞過國內主流殺軟的查殺。這個想法的實現根據這個文章： PowerPwning:Post-Exploiting ByOverpowering PowerShell https://www.defcon.org/images/defcon-21/dc-21-presentations/Bialek/DEFCON-21-Bialek-PowerPwning-Post-Exploiting-by-Overpowering-Powershell.pdf Powershelltricks::Code Execution & Process Injection http://wooyun.jozxing.cc/static/drops/tips-10556.html 引用來源： http://www.freebuf.com/articles/system/129228.html #58c89ffb60987861b0d88fc6

呂守箴(OpenBlue) says to 網路攻防戰~資安閒聊群組

標題："無文件"攻擊方式滲透實驗摘要：原作者前幾天看了一個文章《全球上百家銀行和金融機構感染了一種無文件惡意程序，幾乎無法檢測》，覺得powershell很是神奇，自己希望親手實驗一下，以最大程度還原無文件攻擊方式。 poweshell 加載外部的exe進入內存執行，從而不在受害主機裡面留下任何痕跡，而且也可以繞過國內主流殺軟的查殺。這個想法的實現根據這個文章： PowerPwning:Post-Exploiting ByOverpowering PowerShell https://www.defcon.org/images/defcon-21/dc-21-presentations/Bialek/DEFCON-21-Bialek-PowerPwning-Post-Exploiting-by-Overpowering-Powershell.pdf Powershelltricks::Code Execution & Process Injection http://wooyun.jozxing.cc/static/drops/tips-10556.html 引用來源： http://www.freebuf.com/articles/system/129228.html

at Wed, Mar 15, 2017 9:59 AM