如何使用ThreadStackSpoofer隱藏Shellcode的內(nèi)存分配行為
關(guān)于ThreadStackSpoofer
ThreadStackSpoofer是一種先進(jìn)的內(nèi)存規(guī)避技術(shù),它可以幫助廣大研究人員或紅/藍(lán)隊(duì)人員更好地隱藏已注入的Shellcode的內(nèi)存分配行為,以避免被掃描程序或分析工具所檢測到。
ThreadStackSpoofer是線程堆棧欺騙技術(shù)的一個(gè)示例實(shí)現(xiàn),旨在規(guī)避惡意軟件分析、反病毒產(chǎn)品和EDR在檢查的線程調(diào)用堆棧中查找Shellcode幀的引用。其思想是隱藏對線程調(diào)用堆棧上針對Shellcode的引用,從而偽裝包含了惡意代碼的內(nèi)存分配行為。
在該工具的幫助下,可以幫助現(xiàn)有的商業(yè)C2產(chǎn)品安全性有更好的提升,并協(xié)助紅隊(duì)研究人員開發(fā)出更好的安全產(chǎn)品/工具。
工具運(yùn)行機(jī)制
ThreadStackSpoofer的大致運(yùn)行機(jī)制和算法如下所示:
- 從文件中讀取Shellcode的內(nèi)容;
- 從dll獲取所有必要的函數(shù)指針,然后調(diào)用SymInitialize;
- 設(shè)置kernel32!Sleep狗子,并指向回我們的回調(diào);
- 通過VirtualAlloc + memcpy + CreateThread注入并啟動Shellcode。線程應(yīng)該通過我們的runShellcode函數(shù)啟動,以避免線程的StartAddress節(jié)點(diǎn)進(jìn)入某些意外或異常的地方(比如說ntdll!RtlUserThreadStart+0x21);
- 當(dāng)Beacon嘗試休眠的時(shí)候,我們的MySleep回調(diào)便會被調(diào)用;
- 接下來,我們將棧內(nèi)存中最新返回的地址重寫為0;
- 最后,會發(fā)送一個(gè)針對::SleepEx的調(diào)用來讓Beacon繼續(xù)等待后續(xù)的連接;
- 休眠結(jié)束之后,我們將恢復(fù)之前存儲的原始函數(shù)返回地址并繼續(xù)執(zhí)行掛起的任務(wù);
函數(shù)的返回地址會分散在線程的堆棧內(nèi)存區(qū)域周圍,由RBP/EBP寄存器存儲其指向。為了在堆棧上找到它們,我們需要首先收集幀指針,然后取消對它們的引用以進(jìn)行覆蓋:
- *(PULONG_PTR)(frameAddr + sizeof(void*)) = Fake_Return_Address;
工具下載
廣大研究人員可以使用下列命令將該項(xiàng)目源碼克隆至本地:
- git clone https://github.com/mgeeky/ThreadStackSpoofer.git
工具使用
使用樣例
- C:\> ThreadStackSpoofer.exe <shellcode> <spoof>
其中:
< shellcode>:Shellcode的文件路徑;< spoof>:“1”或“true”代表啟用線程棧內(nèi)存欺騙,其他參數(shù)表示禁用該技術(shù);
欺騙Beacon的線程調(diào)用棧示例:
- PS D:\dev2\ThreadStackSpoofer> .\x64\Release\ThreadStackSpoofer.exe .\tests\beacon64.bin 1
- [.] Reading shellcode bytes...
- [.] Hooking kernel32!Sleep...
- [.] Injecting shellcode...
- [+] Shellcode is now running.
- [>] Original return address: 0x1926747bd51. Finishing call stack...
- ===> MySleep(5000)
- [<] Restoring original return address...
- [>] Original return address: 0x1926747bd51. Finishing call stack...
- ===> MySleep(5000)
- [<] Restoring original return address...
- [>] Original return address: 0x1926747bd51. Finishing call stack...
工具使用演示
下面的例子中,演示了沒有執(zhí)行欺騙技術(shù)時(shí)的堆棧調(diào)用情況:
開啟線程堆棧欺騙之后的堆棧調(diào)用情況如下圖所示:
上述例子中,我們可以看到調(diào)用棧中最新的幀為MySleep回調(diào)。我們可以通過搜索規(guī)則查找調(diào)用堆棧未展開到系統(tǒng)庫中的線程入口點(diǎn):
- kernel32!BaseThreadInitThunk+0x14
- ntdll!RtlUserThreadStart+0x21
上圖所示為未修改的Total Commander x64線程。正如我們所看到的,它的調(diào)用堆棧在初始調(diào)用堆棧幀方面與我們自己的調(diào)用堆棧非常相似。
項(xiàng)目地址
ThreadStackSpoofer:【GitHub傳送門】
