RegStrike 持久性攻击 .reg免杀有效负载生成器
2023-6-3 12:29:46 Author: Ots安全(查看原文) 阅读量:25 收藏

它简单、直观、轻量级且无依赖性。

.reg 有效负载的主要目的是使用各种技术(包括与 UAC 绕过技术的结合)添加持久性。它还能够搞乱其他一些注册表设置。

尽管 .reg 文件基本上是文本文件,但事实证明向其中添加二进制数据不会破坏它,并且 .reg 文件仍会被正确解析。这一事实使您可以用大量乱码数据混淆 .reg 文件,并让用户相信该文件是不可读的二进制文件。因此,向 RegStrike 提供要添加的混淆量,它就可以满足您的要求。

人们希望将 .reg 用作有效负载的主要原因之一是因为 AV 产品的检测率非常低,而且显然混淆甚至进一步降低了检测率。

例如,这里有一个 .reg 负载示例,它使用Silent Process Exit技术进行持久化:


它对 VT 的检测非常低:


会使它归零😈


RegStrike 可以轻松扩展,以获得攻击者想要添加的更多持久性方法/注册表值。

项目地址:https://github.com/itaymigdal/RegStrike

感谢您抽出

.

.

来阅读本文

点它,分享点赞在看都在这里


文章来源: http://mp.weixin.qq.com/s?__biz=MzAxMjYyMzkwOA==&mid=2247498361&idx=1&sn=4a22b2d7a7ed7f0f62a14c10ee64637e&chksm=9badb332acda3a2423b7cd552eb00703e16d9f22e84adff8be47835313d9a71f039aab631007#rd
如有侵权请联系:admin#unsafe.sh