虽然 DLL 旁加载可用于合法目的,例如加载程序运行所需的库,但它也可用于恶意目的。攻击者通常利用用于加载 DLL 的合法应用程序中的漏洞,使用 DLL 旁加载在目标系统上执行任意代码。为了自动化DLL旁加载过程并使其更有效,Chimera创建了一个工具,其中包括规避方法,以绕过EDR / AV产品。这些工具可以使用随机密钥通过XOR自动加密shellcode,并创建可以导入Visual Studio以创建恶意DLL的模板图像。此外,还使用了来自 SysWhispers2 的动态系统调用和修改后的汇编版本以逃避 EDR 搜索的模式,添加了随机 nop 托架并移动了寄存器。此外,早鸟注入还用于在另一个进程中注入shellcode,用户可以指定沙盒规避机制,如硬盘检查以及进程是否正在调试。最后,定时攻击被放置在加载器中,它使用可等待的计时器来延迟shellcode的执行。该工具已经过测试,并证明在绕过 EDR/AV 产品并在目标系统上执行任意代码方面非常有效。
工具用法:
Chimera是用python3编写的,不需要安装任何额外的依赖项。Chimera目前支持两个 DLL 选项,Microsoft团队或 Microsoft OneDrive。userenv.dll这是 Microsoft Teams 中缺少的 DLL,并将其插入到特定文件夹中%USERPROFILE%/Appdata/local/Microsoft/Teams/currentOneDrive,脚本使用版本 DLL,这很常见,因为它在二进制示例 onedriveupdater 中缺失.exepython3./chimera.py met.bin chimera_automation notepad.exe teamspython3./chimera.py met.bin chimera_automation notepad.exe onedrive
其他选项:
[原始有效负载文件]:包含外壳代码的文件的路径
[输出路径]:输出 C 模板文件的路径
[进程名称]:要注入外壳代码的进程的名称
[dll_exports]:指定要使用的 DLL 导出团队或 onedrive
[替换外壳代码变量名称] :[可选] 将外壳代码变量名称替换为唯一名称
[替换异或加密名称]:[可选]将异或加密名称替换为唯一名称
[替换键变量名称] :[可选] 将键变量名称替换为唯一名称
[通过可等待定时器替换睡眠时间] :[可选] 替换自己的睡眠时间
详情查看链接地址:https://github.com/georgesotiriadis/Chimera
原文始发于微信公众号(网络安全交流圈):Chimera - 具有 EDR 规避功能的自动化 DLL 旁加载工具
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论