自拍偷在线精品自拍偷,亚洲欧美中文日韩v在线观看不卡

如何使用ThreadStackSpoofer隱藏Shellcode的內存分配行為

作者:Alpha_h4ck
安全 網(wǎng)站安全
ThreadStackSpoofer是一種先進的內存規(guī)避技術,它可以幫助廣大研究人員或紅/藍隊人員更好地隱藏已注入的Shellcode的內存分配行為,以避免被掃描程序或分析工具所檢測到。

[[437138]]

關于ThreadStackSpoofer

ThreadStackSpoofer是一種先進的內存規(guī)避技術,它可以幫助廣大研究人員或紅/藍隊人員更好地隱藏已注入的Shellcode的內存分配行為,以避免被掃描程序或分析工具所檢測到。

ThreadStackSpoofer是線程堆棧欺騙技術的一個示例實現(xiàn),旨在規(guī)避惡意軟件分析、反病毒產(chǎn)品和EDR在檢查的線程調用堆棧中查找Shellcode幀的引用。其思想是隱藏對線程調用堆棧上針對Shellcode的引用,從而偽裝包含了惡意代碼的內存分配行為。

在該工具的幫助下,可以幫助現(xiàn)有的商業(yè)C2產(chǎn)品安全性有更好的提升,并協(xié)助紅隊研究人員開發(fā)出更好的安全產(chǎn)品/工具。

工具運行機制

ThreadStackSpoofer的大致運行機制和算法如下所示:

  • 從文件中讀取Shellcode的內容;
  • 從dll獲取所有必要的函數(shù)指針,然后調用SymInitialize;
  • 設置kernel32!Sleep狗子,并指向回我們的回調;
  • 通過VirtualAlloc + memcpy + CreateThread注入并啟動Shellcode。線程應該通過我們的runShellcode函數(shù)啟動,以避免線程的StartAddress節(jié)點進入某些意外或異常的地方(比如說ntdll!RtlUserThreadStart+0x21);
  • 當Beacon嘗試休眠的時候,我們的MySleep回調便會被調用;
  • 接下來,我們將棧內存中最新返回的地址重寫為0;
  • 最后,會發(fā)送一個針對::SleepEx的調用來讓Beacon繼續(xù)等待后續(xù)的連接;
  • 休眠結束之后,我們將恢復之前存儲的原始函數(shù)返回地址并繼續(xù)執(zhí)行掛起的任務;

函數(shù)的返回地址會分散在線程的堆棧內存區(qū)域周圍,由RBP/EBP寄存器存儲其指向。為了在堆棧上找到它們,我們需要首先收集幀指針,然后取消對它們的引用以進行覆蓋:

  1. *(PULONG_PTR)(frameAddr + sizeof(void*)) = Fake_Return_Address; 

工具下載

廣大研究人員可以使用下列命令將該項目源碼克隆至本地:

  1. git clone https://github.com/mgeeky/ThreadStackSpoofer.git 

工具使用

使用樣例

  1. C:\> ThreadStackSpoofer.exe <shellcode> <spoof> 

其中:

  • <shellcode>:Shellcode的文件路徑;
  • <spoof>:“1”或“true”代表啟用線程棧內存欺騙,其他參數(shù)表示禁用該技術;

欺騙Beacon的線程調用棧示例:

  1. PS D:\dev2\ThreadStackSpoofer> .\x64\Release\ThreadStackSpoofer.exe .\tests\beacon64.bin 1 
  2. [.] Reading shellcode bytes... 
  3. [.] Hooking kernel32!Sleep... 
  4. [.] Injecting shellcode... 
  5. [+] Shellcode is now running. 
  6. [>] Original return address: 0x1926747bd51. Finishing call stack... 
  7. ===> MySleep(5000) 
  8. [<] Restoring original return address... 
  9. [>] Original return address: 0x1926747bd51. Finishing call stack... 
  10. ===> MySleep(5000) 
  11.  
  12.   
  13.  
  14. [<] Restoring original return address... 
  15.  
  16. [>] Original return address: 0x1926747bd51. Finishing call stack... 

工具使用演示

下面的例子中,演示了沒有執(zhí)行欺騙技術時的堆棧調用情況:

開啟線程堆棧欺騙之后的堆棧調用情況如下圖所示:

上述例子中,我們可以看到調用棧中最新的幀為MySleep回調。我們可以通過搜索規(guī)則查找調用堆棧未展開到系統(tǒng)庫中的線程入口點:

  1. kernel32!BaseThreadInitThunk+0x14 
  2. ntdll!RtlUserThreadStart+0x21 

上圖所示為未修改的Total Commander x64線程。正如我們所看到的,它的調用堆棧在初始調用堆棧幀方面與我們自己的調用堆棧非常相似。

項目地址

ThreadStackSpoofer:【GitHub傳送門

 

責任編輯:趙寧寧 來源: FreeBuf
內存規(guī)避安全工具惡意軟件
相關推薦

2020-09-25 09:26:04

Speakeasy

2013-11-07 09:42:42

對象對象池加速

2023-10-17 00:01:34

Linux操作系統(tǒng)

2021-02-28 13:22:54

Java內存代碼

2018-02-08 14:57:22

對象內存分配

2021-12-16 06:52:33

C語言內存分配

2010-09-25 15:40:52

配置JVM內存

2019-02-28 14:04:28

內存固定分配存儲

2013-12-10 10:53:47

shellcode

2021-07-14 10:00:32

Python內存測量

2018-04-08 08:45:53

對象內存策略

2015-11-16 11:22:05

Java對象內存分配

2009-06-03 15:52:34

堆內存棧內存Java內存分配

2010-09-25 14:12:50

Java內存分配

2010-08-11 13:28:46

Flex行為

2024-12-11 08:51:51

2022-03-18 22:39:57

動態(tài)內存malloc

2022-03-16 08:39:19

StackHeap內存

2023-06-08 09:44:13

WindowSpy目標用戶監(jiān)控

2019-09-10 16:25:19

Python內存空對象
點贊
收藏

51CTO技術棧公眾號