如何使用ThreadStackSpoofer隐藏Shellcode的内存分配行为

关于ThreadStackSpoofer

ThreadStackSpoofer是一种先进的内存规避技术,它可以帮助广大研究人员或红/蓝队人员更好地隐藏已注入的Shellcode的内存分配行为,以避免被扫描程序或分析工具所检测到。

目前成都创新互联公司已为成百上千的企业提供了网站建设、域名、虚拟主机网站运营、企业网站设计、红花岗网站维护等服务,公司将坚持客户导向、应用为本的策略,正道将秉承"和谐、参与、激情"的文化,与客户和合作伙伴齐心协力一起成长,共同发展。

ThreadStackSpoofer是线程堆栈欺骗技术的一个示例实现,旨在规避恶意软件分析、反病毒产品和EDR在检查的线程调用堆栈中查找Shellcode帧的引用。其思想是隐藏对线程调用堆栈上针对Shellcode的引用,从而伪装包含了恶意代码的内存分配行为。

在该工具的帮助下,可以帮助现有的商业C2产品安全性有更好的提升,并协助红队研究人员开发出更好的安全产品/工具。

工具运行机制

ThreadStackSpoofer的大致运行机制和算法如下所示:

  • 从文件中读取Shellcode的内容;
  • 从dll获取所有必要的函数指针,然后调用SymInitialize;
  • 设置kernel32!Sleep狗子,并指向回我们的回调;
  • 通过VirtualAlloc + memcpy + CreateThread注入并启动Shellcode。线程应该通过我们的runShellcode函数启动,以避免线程的StartAddress节点进入某些意外或异常的地方(比如说ntdll!RtlUserThreadStart+0x21);
  • 当Beacon尝试休眠的时候,我们的MySleep回调便会被调用;
  • 接下来,我们将栈内存中最新返回的地址重写为0;
  • 最后,会发送一个针对::SleepEx的调用来让Beacon继续等待后续的连接;
  • 休眠结束之后,我们将恢复之前存储的原始函数返回地址并继续执行挂起的任务;

函数的返回地址会分散在线程的堆栈内存区域周围,由RBP/EBP寄存器存储其指向。为了在堆栈上找到它们,我们需要首先收集帧指针,然后取消对它们的引用以进行覆盖:

 
 
 
    
  
  
  
  1. *(PULONG_PTR)(frameAddr + sizeof(void*)) = Fake_Return_Address; 
    2.

工具下载

广大研究人员可以使用下列命令将该项目源码克隆至本地:

 
 
 
    
  
  
  
  1. git clone https://github.com/mgeeky/ThreadStackSpoofer.git 
    2.

工具使用

使用样例

 
 
 
    
  
  
  
  1. C:\> ThreadStackSpoofer.exe   
    2.

其中:

  • < shellcode>:Shellcode的文件路径;
  • < spoof>:“1”或“true”代表启用线程栈内存欺骗,其他参数表示禁用该技术;

欺骗Beacon的线程调用栈示例:

 
 
 
    
  
  
  
  1. PS D:\dev2\ThreadStackSpoofer> .\x64\Release\ThreadStackSpoofer.exe .\tests\beacon64.bin 1 
    2. 
  
  
  
  2. [.] Reading shellcode bytes... 
    3. 
  
  
  
  3. [.] Hooking kernel32!Sleep... 
    4. 
  
  
  
  4. [.] Injecting shellcode... 
    5. 
  
  
  
  5. [+] Shellcode is now running. 
    6. 
  
  
  
  6. [>] Original return address: 0x1926747bd51. Finishing call stack... 
    7. 
  
  
  
  7. ===> MySleep(5000) 
    8. 
  
  
  
  8. [<] Restoring original return address... 
    9. 
  
  
  
  9. [>] Original return address: 0x1926747bd51. Finishing call stack... 
    10. 
  
  
  
  10. ===> MySleep(5000) 
    11. 
  
  
  
  11.  
    12. 
  
  
  
  12.   
    13. 
  
  
  
  13.  
    14. 
  
  
  
  14. [<] Restoring original return address... 
    15. 
  
  
  
  15.  
    16. 
  
  
  
  16. [>] Original return address: 0x1926747bd51. Finishing call stack... 
    17.

工具使用演示

下面的例子中,演示了没有执行欺骗技术时的堆栈调用情况:

开启线程堆栈欺骗之后的堆栈调用情况如下图所示:

上述例子中,我们可以看到调用栈中最新的帧为MySleep回调。我们可以通过搜索规则查找调用堆栈未展开到系统库中的线程入口点:

 
 
 
    
  
  
  
  1. kernel32!BaseThreadInitThunk+0x14 
    2. 
  
  
  
  2. ntdll!RtlUserThreadStart+0x21 
    3.

上图所示为未修改的Total Commander x64线程。正如我们所看到的,它的调用堆栈在初始调用堆栈帧方面与我们自己的调用堆栈非常相似。

项目地址

ThreadStackSpoofer:【GitHub传送门】

网页名称:如何使用ThreadStackSpoofer隐藏Shellcode的内存分配行为
文章链接:http://www.mswzjz.cn/qtweb/news14/481914.html

攀枝花网站建设、攀枝花网站运维推广公司-贝锐智能,是专注品牌与效果的网络营销公司;服务项目有等

广告

声明:本网站发布的内容(图片、视频和文字)以用户投稿、用户转载内容为主,如果涉及侵权请尽快告知,我们将会在第一时间删除。文章观点不代表本网站立场,如需处理请联系客服。电话:028-86922220;邮箱:631063699@qq.com。内容未经允许不得转载,或转载时需注明来源: 贝锐智能

贝锐智能技术为您推荐以下文章

python知识

分类信息网站

成都发电机维修    IDC机房托管    成都网站建设    做移动网站    成都微商城开发    微信小程序    wap网站建设    成都广告招牌制作    成都品牌网站建设    手机软件开发    成都成品网站    江安网站建设    成都企业网站改版    温江网站制作    网站定制    成都营销网站建设    网站定制    成都响应式网站建设公司    渠县网站建设    大橙子建站