这是一个针对 Windows 的 Dropper/Post Exploitation 工具(或可以在两种情况下使用)。
功能:
-
间接动态Syscall:通过间接方式执行系统调用,增加操作的隐蔽性。
-
SSN + Syscall地址排序:利用修改过的TartarusGate方法对SSN和Syscall地址进行排序。
-
远程进程注入:通过APC Early Bird实现远程进程注入,实现横向移动和持久性。
-
生成牺牲进程作为目标进程:在执行操作时创建一个牺牲进程,用作目标进程,以规遍迹象。
-
ACG(任意代码守卫)/BlockDll缓解政策:在生成的进程上应用缓解政策,以对抗操作系统的安全策略。
-
PPID伪造:伪造父进程ID,以混淆进程关系,增加检测难度。
-
从TIB解析API:直接通过线程信息块(TIB)解析Nt API,增加对API的动态解析。
-
Cursed Nt API散列:对Nt API进行散列,可能用于防止分析或检测。
-
禁用事件日志服务线程:如果具有管理员特权,禁用事件日志服务线程,以规遍操作的痕迹。
-
其他功能:包括针对EDR/Ring-3/UserLand的钩子绕过、通过内存执行ntdll.dll中的Syscall和返回语句进行绕过EDR检测等。
项目地址:
https://github.com/reveng007/DarkWidow?tab=readme-ov-file#compile
原文始发于微信公众号(Ots安全):DarkWidow:针对 Windows 的 Dropper/Post 漏洞利用工具
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论