fox-it/blister-research

# 破解 Blister 以用于研究 本仓库包含与我们的博文 _Popping Blisters for research: An overview of past payloads and exploring recent developments_ 相关的信息，您可以在此处阅读： * https://blog.fox-it.com/2023/11/01/popping-blisters-for-research-an-overview-of-past-payloads-and-exploring-recent-developments/ * https://research.nccgroup.com/2023/11/01/popping-blisters-for-research-an-overview-of-past-payloads-and-exploring-recent-developments/ 我们将从博文中讨论的 Blister 样本中提取的所有 payload 上传到了 VirusTotal 的一个压缩包中。该压缩包可在此处找到： * https://www.virustotal.com/gui/file/44b36f5ece88f34259c9d689f4183de90658c6fb39d0c11f14e0b045ee06d06b # 转储 BlisterMythic 配置 Blister 投放的 Mythic 代理（我们称之为 BlisterMythic）包含一个可以解密的配置。脚本 [dump-blister-mythic-config.py](dump-blister-mythic-config.py) 试图检索并解密此配置（假设它是 PE 文件）。在某些情况下，Blister 也会投放 MythicPacker，这是一种解密并执行 PE 文件的 shellcode。您可以使用我们的另一个脚本重构打包的 PE 文件，然后使用 [dump-blister-mythic-config.py](dump-blister-mythic-config.py) 检索配置，请参阅下一节。 解密配置有不同的方法，可以通过提供密钥，也可以使用暴力破解或已知明文攻击。默认情况下使用已知明文攻击，但您可以使用 ``-k`` 或 ``--key`` 指定密钥，或者通过指定 ``-b`` 或 ``--bruteforce`` 来使用暴力破解攻击方法。 默认情况下，脚本会转储解密后配置的原始字节。但是，您可以提供 ``-ac`` 或 ``--agent-config`` 选项来转储解释后的 BlisterMythic 代理配置。据我们所知，此配置并非一般性地链接到 Mythic，而是专门针对 BlisterMythic 的。奇怪的是，代理配置还包含命令控制（C2）服务器配置。 # 解包 MythicPacker 脚本 [unpack-mythic-packer.py](unpack-mythic-packer.py) 可用于重构用 MythicPacker shellcode 打包的 PE 文件。该脚本完全基于遇到的 Blister payload，并假设 shellcode 的起始位置在偏移量 0 处。如果不是这种情况，它将失败。要检索 BlisterMythic 配置，您可以执行以下操作： ``` $ python unpack-mythic-packer.py /tmp/mythicpackedfile | python dump-blister-mythic-config.py ``` # Blister 样本 [blister-samples.json](blister-samples.json) 是一个 JSON 文件，包含我们在博文中分析的 Blister 样本的信息。例如，它包含 Blister 样本及其 payload 的 SHA256 哈希值、payload 标签、配置标志以及其他一些信息。 # Cobalt Strike beacon 在 [blister-payloads-cobaltstrike-iocs.csv](iocs/blister-payloads-cobaltstrike-iocs.csv) 中，我们列出了我们遇到的 Cobalt Strike beacon 的信息以及它们属于哪个 payload。您可以使用 SHA256 哈希值在 [blister-samples.json](blister-samples.json) 中找到相应的 Blister 样本。 # BlisterMythic 在 [blister-payloads-mythic-iocs.csv](iocs/blister-payloads-mythic-iocs.csv) 中，我们列出了命令控制（C2）域名以及与其关联的 payload SHA256 哈希值。与 Cobalt Strike beacon 类似，您可以使用此哈希值在 [blister-samples.json](blister-samples.json) 中找到投放它的相应 Blister 样本。 此外，我们在 [blister-mythic-c2s.csv](iocs/blister-mythic-c2s.csv) 中包含了 BlisterMythic C2 服务器。YARA 规则在 [rules.yara](yara/rules.yara) 中

标签：Blister, C2框架, DAST, DNS信息、DNS暴力破解, DNS 反向解析, DNS通配符暴力破解, Homebrew安装, IOC, Mythic, Shellcode分析, YARA规则, 云资产清单, 域名收集, 威胁情报, 安全学习资源, 开发者工具, 恶意软件分析, 恶意软件配置解密, 情报收集, 数字取证, 漏洞研究, 网络信息收集, 网络安全, 自动化脚本, 逆向工具, 逆向工程, 隐私保护