inceptor——一个不错的免杀框架

0. 前言

这个免杀框架是今天下午在Github看到的，8月2号新鲜出炉。看简介让人有眼前一亮的感觉（Github上免杀框架非常多，但大部分都是劣质项目）

今天推荐的这个项目集成了各种主流的AV/EDR绕过方案，虽然可以遇见它很快就会被各大安全产品标记，但它所集成的技术可以作为一个很好的study list

1. 从我的私有免杀框架说起

我在日常的RedTeam行动中使用的是自己用Rust写的免杀框架，名字叫nucleus（看过美剧硅谷的朋友应该有印象），可能会在未来公开。为了追求更好的免杀效果，nucleus所有的功能都是自实现的（也就是零依赖），代码量大概在5K行左右。

nucleus的免杀处理work flow与今天推荐的项目类似。因为我的框架是偏向于native binary，所以没有集成AMSI bypass，WLDP bypass和.NET Loader等功能。而且OLLVM对LLVM版本的限制与Rust编译链不兼容，所以也没有集成混淆功能，但多了Microsoft signature restricted，ACG和Image path spoof等功能。

2. 今天的主角——inceptor

今天的主角是inceptor^[1]，项目地址是https://github.com/klezVirus/inceptor

首先看一下它的work flow:

1.针对三种不同的payload格式分别处理，最终都转化为shellcode格式

    •Shellcode    •EXE，native通过PE2SH或Donut处理，.NET通过Donut处理    •DLL，通过sRDI处理

    2.使用Shikata-Ga-Nai进行加载器无关的编码，这个编码器大家应该耳熟能详，是MSF默认集成的编码器里效果最佳的    3.进行和加载器强依赖的编码    4.写入源码，源码模版中集成AV/EDR bypass的技术    5.编译链接，.NET使用CSC，native使用clang    6.混淆

    •.NET使用ConfuserEX，AsStrongAsFuck或LoGIC.NET    •nativeri使用OLLVM

    7.签名，使用CarbonCopy^[2]

3. AV Evasion

•AMSI bypass•WLDP bypass•ETW bypass•Sandbox (Behavioural) Deception

都是很常见的技术，就不详细介绍了

4. EDR Evasion

•Full Unhooking•Manual DLL Mapping•Direct Syscalls

inceptor的API Unhooking我没有看代码，我想应该和我的框架做法类似，讲讲我的做法：

我的框架里自实现了kernel32!GetProcAddress，并且实现了PE Loader的功能，我最初是想通过递归调用自实现的PE Loader功能来加载纯净的DLL到用户态内存中，这样被加载的恶意PE文件IAT中指向的都是我维护的用户态DLL。但实现中发现即使解决了api set scheme问题后依然无法加载系统DLL，原因未知

之后我加载DLL的时候，重定位步骤以内存中已存在的DLL为基准，加载完成后拷贝.TEXT段覆盖到内存中已存在的DLL上，完成刷新操作，来实现通用且非侵入式的API Unhooking

inceptor的Direct Syscall实现了x86下的功能，但我认为x86下的Direct Syscall没什么卵用，因为人家直接在Ring0层做Hook了

5. 混淆和签名

native的混淆是通过OLLVM，做一些控制流之类的操作

签名伪造的项目我没有了解过，CarbonCopy这个项目真的可以伪造微软签名吗？有空研究一下

References

[1] inceptor: https://github.com/klezVirus/inceptor
[2] CarbonCopy: https://github.com/paranoidninja/CarbonCopy

原文始发于微信公众号（0x4d5a）：inceptor——一个不错的免杀框架