SuperMega 是一个 shellcode 加载器,通过将其注入到真正的可执行文件(.exe 或 .dll)中来实现

admin 2024年12月1日22:42:21评论20 views字数 886阅读2分57秒阅读模式
SuperMega 是一个 shellcode 加载器,通过将其注入到真正的可执行文件(.exe 或 .dll)中来实现

SuperMega 是一个 shellcode 加载器,通过将其注入到真正的可执行文件(.exe 或 .dll)中来实现。该加载器使用 C 语言编写。

这个想法是,将 shellcode 很好地注入到非恶意的可执行文件中,这样就不容易被发现。

特征:

  • 加密有效载荷
  • 执行护栏,因此有效载荷仅在目标上解密
  • 反模拟,对抗 AV 模拟器
  • EDR 去条件器,针对 EDR 内存扫描
  • 保留可执行文件的所有原始属性(导入等)
  • 非常小的装载机
  • 利用 main 函数劫持执行代码
  • 无需 PEB 遍历,重用 IAT 来执行 Windows API 函数
  • 将数据注入载体 shellcode 的 .rdata 中
  • 修补 IAT 以解决运营商缺失的功能

参考:

  • HITB2024 BKK“我的第一个也是最后一个 shellcode 加载器”

https://docs.google.com/presentation/d/1_gwd0M49ObHZO5JtrkZl1NPwRKXWVRm_zHTDdGqRl3Q/edit?usp=sharing

  • 博客 Supermega Loader

https://blog.deeb.ch/posts/supermega/

  • 博客 虫草 文件注入技术

https://blog.deeb.ch/posts/exe-injection/

SuperMega 是一个 shellcode 加载器,通过将其注入到真正的可执行文件(.exe 或 .dll)中来实现

用法

> ./web.py

浏览到 ` http://localhost:5001 '。

或者,使用./supermega.py --help,但它的支持不太好。

目录

  • data/binary/shellcodes:输入:我们想要用作输入(有效载荷)的 Shellcode
  • data/binary/exes/:输入:我们注入的非恶意 EXE 文件
  • data/source/carrier:输入:载体C模板
  • projects/<projectname>:输出:包含所有文件的项目目录
  • projects/default:输出:包含所有文件的项目目录

项目地址:

https://github.com/dobin/SuperMega

原文始发于微信公众号(Ots安全):SuperMega 是一个 shellcode 加载器,通过将其注入到真正的可执行文件(.exe 或 .dll)中来实现

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年12月1日22:42:21
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   SuperMega 是一个 shellcode 加载器,通过将其注入到真正的可执行文件(.exe 或 .dll)中来实现https://cn-sec.com/archives/3455639.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息