SuperMega 是一个 shellcode 加载器,通过将其注入到真正的可执行文件(.exe 或 .dll)中来实现。该加载器使用 C 语言编写。
这个想法是,将 shellcode 很好地注入到非恶意的可执行文件中,这样就不容易被发现。
特征:
- 加密有效载荷
- 执行护栏,因此有效载荷仅在目标上解密
- 反模拟,对抗 AV 模拟器
- EDR 去条件器,针对 EDR 内存扫描
- 保留可执行文件的所有原始属性(导入等)
- 非常小的装载机
- 利用 main 函数劫持执行代码
- 无需 PEB 遍历,重用 IAT 来执行 Windows API 函数
- 将数据注入载体 shellcode 的 .rdata 中
- 修补 IAT 以解决运营商缺失的功能
参考:
- HITB2024 BKK“我的第一个也是最后一个 shellcode 加载器”
https://docs.google.com/presentation/d/1_gwd0M49ObHZO5JtrkZl1NPwRKXWVRm_zHTDdGqRl3Q/edit?usp=sharing
- 博客 Supermega Loader
https://blog.deeb.ch/posts/supermega/
- 博客 虫草 文件注入技术
https://blog.deeb.ch/posts/exe-injection/
用法
> ./web.py
浏览到 ` http://localhost:5001 '。
或者,使用./supermega.py --help,但它的支持不太好。
目录
- data/binary/shellcodes:输入:我们想要用作输入(有效载荷)的 Shellcode
- data/binary/exes/:输入:我们注入的非恶意 EXE 文件
- data/source/carrier:输入:载体C模板
- projects/<projectname>:输出:包含所有文件的项目目录
- projects/default:输出:包含所有文件的项目目录
项目地址:
https://github.com/dobin/SuperMega
原文始发于微信公众号(Ots安全):SuperMega 是一个 shellcode 加载器,通过将其注入到真正的可执行文件(.exe 或 .dll)中来实现
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论