FUD-UUID-Shellcode:一款基于C++的Shellcode注入工具 

关于FUD-UUID-Shellcode

FUD-UUID-Shellcode是一款功能强大的Shellcode注入工具,该工具基于C++语言开发,并使用了异或XOR加密技术UUID字符串混淆来尝试绕过Windows Defender。广大研究人员可以使用该工具测试目标系统的安全性,或研究Windows Defender相关的安全问题。

工作机制

Shellcode生成

首先,该工具会以二进制源码的形式生成一个Payload(使用CobaltStrike或msfvenom),以msfvenom举例,我们可以通过下列方式生成一个Payload:

msfvenom -p windows/messagebox  -f raw -o shellcode.bin

然后工具会使用提供的Python 3脚本(bin_to_uuid.py)将Shellcode转换为UUID字符串格式:

./bin_to_uuid.py -p shellcode.bin > uuid.txt

接下来,工具会使用另一个Python 3脚本(xor_encryptor.py)对uuid.txt中的UUID字符串进行异或XOR加密:

./xor_encryptor.py uuid.txt > xor_crypted_out.txt

最后,拷贝输出文件(xor_crypted_out.txt)中的C-style数组到C++文件中(以unsigned char形式,比如说unsigned char payload[]{your_output_from_xor_crypted_out.txt})。

Shellcode注入执行

该工具实现的Shellcode注入技术由以下几个步骤序列组成:

1、使用VirtualAlloc给Payload的执行和持久化分配虚拟内存;

2、使用xor键值对Payload进行异或解密;

3、使用UuidFromStringA将UUID字符串恢复为代码形式,并将其存储在之前(第一步)分配的内存中。这样可以避免使用类似WriteProcessMemory或memcpy这样的可疑API;

4、使用EnumChildWindows执行之前(第一步)加载在内存中的Payload;

工具注意事项

1、我们可以自行修改异或加密使用的密钥,直接修改./xor_encryptor.py中的KEY变量即可;

2、可以修改修改./xor_encryptor.py中的“excutable filename”值来修改默认的文件名;

3、在编译项目代码时,也可以使用mingw;

工具下载

广大研究人员可以使用下列命令将该项目源码克隆至本地:

git clone https://github.com/Bl4ckM1rror/FUD-UUID-Shellcode.git

工具编译

打开终端窗口,然后切换到项目目录中,并运行make命令编译项目代码即可:

make

AV扫描结果

概念验证PoC

FUD-UUID-Shellcode:一款基于C++的Shellcode注入工具 

代码静态分析结果

FUD-UUID-Shellcode:一款基于C++的Shellcode注入工具 

反病毒产品扫描结果

工具代码在antiscan.me上的扫描结果如下(2022年01月08日):

FUD-UUID-Shellcode:一款基于C++的Shellcode注入工具 

项目地址

FUD-UUID-Shellcode:【GitHub传送门

参考资料

https://research.nccgroup.com/2021/01/23/rift-analysing-a-lazarus-shellcode-execution-method/

https://antiscan.me/scan/new/result?id=3IYj6CtMq6h8

本文作者:Alpha_h4ck, 转载请注明来自FreeBuf.COM

主题测试文章,只做测试使用。发布者:1869,转转请注明出处:https://community.anqiangkj.com/archives/24607

(0)
打赏 微信扫一扫 微信扫一扫 支付宝扫一扫 支付宝扫一扫
上一篇 2022年10月27日 下午9:37
下一篇 2022年10月27日 下午9:44

相关推荐