2023-12-28 19:13:42 Author: FreeBuf(查看原文) 阅读量:9 收藏
ModuleShifting是一款针对Module Stomping和Module Overloading注入技术的安全测试工具,该工具基于Python ctypes实现其功能,因此可以通过Python解释器或Pyramid在内存中完整执行,这样就可以避免使用编译加载器了。
需要注意的是,该技术可以与PE或Shellcode Payload结合使用,但当前版本的ModuleShifting只能与Shellcode Payload一起使用。
当该工具与Shellcode Payload一起使用时,将执行下列操作:
1、通过LoadLibrary加载合法的宿主DLL;
2、将指定区域的内存权限修改为RW;
3、将Shellcode重写至目标区域;
4、添加可选填充数据以更好地伪装成误报行为;
5、将权限更改为RX;
6、通过函数指针执行Shellcode;
7、在执行的Shellcode上写入原始DLL内容;
当该工具与一个PE Payload一起使用时,则会执行下列操作:
1、通过LoadLibrary加载合法的宿主DLL;
2、将指定区域的内存权限修改为RW;
3、将PE内容逐节复制到指定目标点上;
4、添加可选填充数据以更好地伪装成误报行为;
5、执行基地址重新分配;
6、解析导入;
7、通过将权限设置为其本机值来完成内存处理(避免创建RWX内存区域);
8、TLS回调执行;
9、执行PE入口点;
git clone https://github.com/naksyn/ModuleShifting.gitModuleShifting可以和Pyramid一起使用,配合一个Python解释器,即可在内存中完整执行本地进程注入了。
此时我们还需要使用下列命令克隆Pyramid代码库:
git clone https://github.com/naksyn/Pyramid然后使用你喜欢的C2生成一个Shellcode Payload,并将其拖动到Pyramid的Delivery_files文件夹中。
修改Pyramid Modules文件夹中moduleshifting.py脚本中的相关参数,然后使用下列命令开启Pyramid服务器:
python3 pyramid.py -u testuser -pass testpass -p 443 -enc chacha20 -passenc superpass -generate -server 192.168.1.2 -setcradle moduleshifting.py本项目的开发与发布遵循Apache-2.0开源许可证协议。
ModuleShifting:
GitHub - naksyn/ModuleShifting: Stealthier variation of Module Stomping and Module Overloading injection techniques that reduces memory IoCs. Implemented in Python ctypes
https://github.com/naksyn/talks/blob/main/x33fcon%202023%20-%20Improving%20the%20Stealthiness%20of%20Memory%20Injection%20Techniques.pdf https://naksyn.com/edr%20evasion/2023/06/01/improving-the-stealthiness-of-memory-injections.html https://www.forrest-orr.net/post/masking-malicious-memory-artifacts-part-ii-insights-from-moneta
如有侵权请联系:admin#unsafe.sh