日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時間:8:30-17:00
你可能遇到了下面的問題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
如何使用ThreadStackSpoofer隱藏Shellcode的內(nèi)存分配行為

關(guān)于ThreadStackSpoofer

ThreadStackSpoofer是一種先進的內(nèi)存規(guī)避技術(shù),它可以幫助廣大研究人員或紅/藍(lán)隊人員更好地隱藏已注入的Shellcode的內(nèi)存分配行為,以避免被掃描程序或分析工具所檢測到。

目前成都創(chuàng)新互聯(lián)公司已為成百上千的企業(yè)提供了網(wǎng)站建設(shè)、域名、虛擬主機、網(wǎng)站運營、企業(yè)網(wǎng)站設(shè)計、紅花崗網(wǎng)站維護等服務(wù),公司將堅持客戶導(dǎo)向、應(yīng)用為本的策略,正道將秉承"和諧、參與、激情"的文化,與客戶和合作伙伴齊心協(xié)力一起成長,共同發(fā)展。

ThreadStackSpoofer是線程堆棧欺騙技術(shù)的一個示例實現(xiàn),旨在規(guī)避惡意軟件分析、反病毒產(chǎn)品和EDR在檢查的線程調(diào)用堆棧中查找Shellcode幀的引用。其思想是隱藏對線程調(diào)用堆棧上針對Shellcode的引用,從而偽裝包含了惡意代碼的內(nèi)存分配行為。

在該工具的幫助下,可以幫助現(xiàn)有的商業(yè)C2產(chǎn)品安全性有更好的提升,并協(xié)助紅隊研究人員開發(fā)出更好的安全產(chǎn)品/工具。

工具運行機制

ThreadStackSpoofer的大致運行機制和算法如下所示:

  • 從文件中讀取Shellcode的內(nèi)容;
  • 從dll獲取所有必要的函數(shù)指針,然后調(diào)用SymInitialize;
  • 設(shè)置kernel32!Sleep狗子,并指向回我們的回調(diào);
  • 通過VirtualAlloc + memcpy + CreateThread注入并啟動Shellcode。線程應(yīng)該通過我們的runShellcode函數(shù)啟動,以避免線程的StartAddress節(jié)點進入某些意外或異常的地方(比如說ntdll!RtlUserThreadStart+0x21);
  • 當(dāng)Beacon嘗試休眠的時候,我們的MySleep回調(diào)便會被調(diào)用;
  • 接下來,我們將棧內(nèi)存中最新返回的地址重寫為0;
  • 最后,會發(fā)送一個針對::SleepEx的調(diào)用來讓Beacon繼續(xù)等待后續(xù)的連接;
  • 休眠結(jié)束之后,我們將恢復(fù)之前存儲的原始函數(shù)返回地址并繼續(xù)執(zhí)行掛起的任務(wù);

函數(shù)的返回地址會分散在線程的堆棧內(nèi)存區(qū)域周圍,由RBP/EBP寄存器存儲其指向。為了在堆棧上找到它們,我們需要首先收集幀指針,然后取消對它們的引用以進行覆蓋:

 
 
 
    
  
  
  
  1. *(PULONG_PTR)(frameAddr + sizeof(void*)) = Fake_Return_Address; 
    2.

工具下載

廣大研究人員可以使用下列命令將該項目源碼克隆至本地:

 
 
 
    
  
  
  
  1. git clone https://github.com/mgeeky/ThreadStackSpoofer.git 
    2.

工具使用

使用樣例

 
 
 
    
  
  
  
  1. C:\> ThreadStackSpoofer.exe   
    2.

其中:

  • < shellcode>:Shellcode的文件路徑;
  • < spoof>:“1”或“true”代表啟用線程棧內(nèi)存欺騙,其他參數(shù)表示禁用該技術(shù);

欺騙Beacon的線程調(diào)用棧示例:

 
 
 
    
  
  
  
  1. PS D:\dev2\ThreadStackSpoofer> .\x64\Release\ThreadStackSpoofer.exe .\tests\beacon64.bin 1 
    2. 
  
  
  
  2. [.] Reading shellcode bytes... 
    3. 
  
  
  
  3. [.] Hooking kernel32!Sleep... 
    4. 
  
  
  
  4. [.] Injecting shellcode... 
    5. 
  
  
  
  5. [+] Shellcode is now running. 
    6. 
  
  
  
  6. [>] Original return address: 0x1926747bd51. Finishing call stack... 
    7. 
  
  
  
  7. ===> MySleep(5000) 
    8. 
  
  
  
  8. [<] Restoring original return address... 
    9. 
  
  
  
  9. [>] Original return address: 0x1926747bd51. Finishing call stack... 
    10. 
  
  
  
  10. ===> MySleep(5000) 
    11. 
  
  
  
  11.  
    12. 
  
  
  
  12.   
    13. 
  
  
  
  13.  
    14. 
  
  
  
  14. [<] Restoring original return address... 
    15. 
  
  
  
  15.  
    16. 
  
  
  
  16. [>] Original return address: 0x1926747bd51. Finishing call stack... 
    17.

工具使用演示

下面的例子中,演示了沒有執(zhí)行欺騙技術(shù)時的堆棧調(diào)用情況:

開啟線程堆棧欺騙之后的堆棧調(diào)用情況如下圖所示:

上述例子中,我們可以看到調(diào)用棧中最新的幀為MySleep回調(diào)。我們可以通過搜索規(guī)則查找調(diào)用堆棧未展開到系統(tǒng)庫中的線程入口點:

 
 
 
    
  
  
  
  1. kernel32!BaseThreadInitThunk+0x14 
    2. 
  
  
  
  2. ntdll!RtlUserThreadStart+0x21 
    3.

上圖所示為未修改的Total Commander x64線程。正如我們所看到的,它的調(diào)用堆棧在初始調(diào)用堆棧幀方面與我們自己的調(diào)用堆棧非常相似。

項目地址

ThreadStackSpoofer:【GitHub傳送門】


網(wǎng)站標(biāo)題:如何使用ThreadStackSpoofer隱藏Shellcode的內(nèi)存分配行為
文章來源:http://www.dlmjj.cn/article/dhpjshe.html