本文分析复现一下Lazarus APT的一个shellcode的通过UUID执行手法。

1月21日，CheckPoint研究团队通过Twitter分享了Lazarus的恶意软件样本。
伪装成工作描述通过LinkedIn来进行宏文件的网络钓鱼手法。

- 阅读剩余部分 -

DLL侧面加载（白加黑）手法已经声名远播，这里不再过多描述了，可以看看我的之前的文章。

http://cn0sec.cn/index.php/archives/16/

本文更多讨论学习一下DLL在钓鱼和持久化的一些手法。这次学习的东西算是一个tips吧，不深入。

- 阅读剩余部分 -

前记

在上一篇文章中我们学习了Antimalware Scan Interface（AMSI）的一些知识。作为渗透测试的我们了解杀软是为了更好地进行免杀。

在对抗杀毒软件的手法中，在大层面来说：

一就是破坏杀毒软件，使其无法正常运行；
二是绕过杀毒软件，使其无法检测到。

从小的层面来说：

- 阅读剩余部分 -

Amsi（Antimalware Scan Interface）基础知识

The Windows Antimalware Scan Interface (AMSI) is a versatile interface
standard that allows your applications and services to integrate with
any antimalware product that's present on a machine. AMSI provides
enhanced malware protection for your end-users and their data,
applications, and workloads.

AMSI is agnostic of antimalware vendor; it's designed to allow for the
most common malware scanning and protection techniques provided by
today's antimalware products that can be integrated into applications.
It supports a calling structure allowing for file and memory or stream
scanning, content source URL/IP reputation checks, and other
techniques.

- 阅读剩余部分 -

这里演示的方式为shellcode框架加载自解压

1.生成shellcode
2.c加载(随便拉的加载器)

- 阅读剩余部分 -