Doppelganger 是一款神秘的工具,旨在模拟 LSASS,提取其机密信息,并将其隐藏于众目睽睽之下。它以 HollowReaper 的禁忌之术为基础,利用挖空进程、内核漏洞和光谱克隆来绕过保护机制,并隐秘地窃取凭证。
📜 仪式
🩸 分身
灵魂窃贼。以下是shellcode:
-
🛡️ 使用 cursed RTCore64.sys 驱动程序 (BYOVD) 禁用 PPL
-
🧬 将 LSASS 克隆为良性副本
-
💾 从克隆中创建一个 Minidump
-
🗝️ 对转储进行 XOR 加密并将其写入磁盘,只留下影子
🧿 实用工具
💀 HollowReaper.c
有效载荷的容器。这将执行进程挖空,挖出一个合法进程,并将 Shellcode 注入其外壳中。🔧 HollowReaper 项目中提供了生成要嵌入的 Shellcode 的说明。
🔐解密_xor_dump.py
本地解密实用程序。使用它可以从异或混淆后的数据恢复原始转储。
⚗️ 组件
| 文件 | 目的 |
|---|---|
| 分身 | shellcode:禁用 PPL、克隆 LSASS、转储和 XOR |
| HollowReaper.c | 空洞进程并注入shellcode |
| 解密_xor_dump.py | Python 工具解密 XOR 转储 |
| RTCore64.sys | 用于 PPL 绕过 (BYOVD) 的易受攻击的驱动程序 |
🕯️ 使用流程
独立
要使用 Doppelganger,您必须将 RTCore64.sys 放置在 C:UsersPublic 目录下。Doppleganger 可以单独使用,也可以通过 HollowReaper 进行 Hollow 操作。
.Doppelganger.exe流程空洞
1️⃣ 编译 Doppelganger
2️⃣ 使用 Donut 将其转换为 shellcode
.donut.exe -a2 -f7 -i Doppelganger.exe3️⃣ 对 shellcode 进行异或运算并将其嵌入到 HollowReaper.c 中(在HollowReaper中查找实用程序文件)
4️⃣ 运行 HollowReaper 来挖空一个进程并触发 Doppelganger(所有文件保存到 C:UsersPublic)
.HollowReaper.exe"C:windowsexplorer.exe"5️⃣ 使用decrypt_xor_dump.py离线解密转储文件
python .decrypt_xor_dump.py .doppelganger.dmp项目地址:
https://github.com/vari-sh/RedTeamGrimoire/tree/main/Doppelganger
原文始发于微信公众号(Ots安全):Doppelganger项目 – 模仿灵魂,不留痕迹
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论