-
-
[原创]PECracker:感染证书区段的PE免杀工具
-
发表于: 2024-8-12 23:00
-
项目地址:https://github.com/berryalen02/PECracker
要是感觉好用的话,求个star呀
前言
项目的定位:红队人员的PE对抗辅助工具,具体的对抗思路,就仰仗各位大佬的脑洞了。也欢迎提issue,丰富工具功能。
(为了更好的免杀性能,后续会酌情开源)
对于PE头的一些变形技术都比较老了,这次的学习与实践主要是某APT样本用了这保持签名有效的技术,并且支持shellcode的隐藏与识别,可以深挖的花样会很多。
利用哈希校验漏洞感染文件同时不影响签名有效性的POC,在21年就已经披露了,公开利用主要是SigFlip 这个项目。老POC是一体化的loader,我实现了分离的PE修改工具,定制化程度更高,用起来更方便。后续会持续更新深度的攻防对抗。
后续希望把对于PE文件的利用手法都整合到项目中,因此将项目命名为PECracker。
使用方法
目前实现了文件头伪装(暴力不优雅版)和证书区段数据嵌入,后续继续更新
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 | .\PECracker.exe ( )\ ) ( ) (()/(( )\ ( ) ( /( ( ( /(_))\ (((_) )( ( /( ( )\()) ))\ )( (_))((_) )\___(()\ )(_)) )\((_)\ /((_|()\ | _ \ __((/ __|((_|(_)_ ((_) |(_|_)) ((_) | _/ _| | (__| '_/ _` / _|| / // -_)| '_| |_| |___| \___|_| \__,_\__||_\_\\___||_| written by https://github.com/berryalen02/PECrackerUsage: PECracker.exe [command]Available Commands: crack 针对文件头的crack help Help about any command replace 文件头替换伪装Flags: -h, --help help for PECracker.exe |
文件头替换
1 2 | PECracker.exe replace extract [PE file] [output] [flags]PECracker.exe replace import [HeaderFile] [target] [flags] |
证书区段数据嵌入
1 | PECracker.exe crack inject [PeFile] [output] [ShellcodeFile] [flags] |
效果
以下测试均采用最简单的msf生成的calc.bin,无混淆
感染PE文件后不影响执行
360和wdf无检出
传了几个沙箱
TODO
[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!
最后于 2024-8-13 13:55
被天堂猪0ink编辑
,原因:
|
|
|---|---|
|
|
|
|
|
这一个相当于一个shellcode的载体,保证shellcode在一个有合法签名的文件中带着;然后还是需要另外一个加载器来运行shellcode。这脑洞是真的大。
|
|
|
这姿势老外早就开源了,我都用几年了
|
|
|
|
|
|
哈哈是,也是学自样本,单独做一个工具方便使用 |
