關(guān)于ThreadStackSpoofer

ThreadStackSpoofer是一種先進(jìn)的內(nèi)存規(guī)避技術(shù)，它可以幫助廣大研究人員或紅/藍(lán)隊人員更好地隱藏已注入的Shellcode的內(nèi)存分配行為，以避免被掃描程序或分析工具所檢測到。

ThreadStackSpoofer是線程堆棧欺騙技術(shù)的一個示例實現(xiàn)，旨在規(guī)避惡意軟件分析、反病毒產(chǎn)品和EDR在檢查的線程調(diào)用堆棧中查找Shellcode幀的引用。其思想是隱藏對線程調(diào)用堆棧上針對Shellcode的引用，從而偽裝包含了惡意代碼的內(nèi)存分配行為。

在該工具的幫助下，可以幫助現(xiàn)有的商業(yè)C2產(chǎn)品安全性有更好的提升，并協(xié)助紅隊研究人員開發(fā)出更好的安全產(chǎn)品/工具。

工具運行機制

ThreadStackSpoofer的大致運行機制和算法如下所示：

從文件中讀取Shellcode的內(nèi)容；

從dll獲取所有必要的函數(shù)指針，然后調(diào)用SymInitialize；

設(shè)置kernel32!Sleep狗子，并指向回我們的回調(diào)；

通過VirtualAlloc + memcpy +
CreateThread注入并啟動Shellcode。線程應(yīng)該通過我們的runShellcode函數(shù)啟動，以避免線程的StartAddress節(jié)點進(jìn)入某些意外或異常的地方（比如說ntdll!RtlUserThreadStart+0x21）；

當(dāng)Beacon嘗試休眠的時候，我們的MySleep回調(diào)便會被調(diào)用；

接下來，我們將棧內(nèi)存中最新返回的地址重寫為0；

最后，會發(fā)送一個針對::SleepEx的調(diào)用來讓Beacon繼續(xù)等待后續(xù)的連接；

休眠結(jié)束之后，我們將恢復(fù)之前存儲的原始函數(shù)返回地址并繼續(xù)執(zhí)行掛起的任務(wù)；

函數(shù)的返回地址會分散在線程的堆棧內(nèi)存區(qū)域周圍，由RBP/EBP寄存器存儲其指向。為了在堆棧上找到它們，我們需要首先收集幀指針，然后取消對它們的引用以進(jìn)行覆蓋：

*(PULONG_PTR)(frameAddr + sizeof(void*)) = Fake_Return_Address;

→點擊查看技術(shù)資料←

1.2000多本網(wǎng)絡(luò)安全系列電子書
2.網(wǎng)絡(luò)安全標(biāo)準(zhǔn)題庫資料
3.項目源碼
4.網(wǎng)絡(luò)安全基礎(chǔ)入門、Linux、web安全、攻防方面的視頻
5.網(wǎng)絡(luò)安全學(xué)習(xí)路線圖

工具下載

廣大研究人員可以使用下列命令將該項目源碼克隆至本地：

git clone https://github.com/mgeeky/ThreadStackSpoofer.git

工具使用

使用樣例

C:\> ThreadStackSpoofer.exe <shellcode> <spoof>

其中：

：Shellcode的文件路徑；

：“1”或“true”代表啟用線程棧內(nèi)存欺騙，其他參數(shù)表示禁用該技術(shù)；

欺騙Beacon的線程調(diào)用棧示例

PS D:\dev2\ThreadStackSpoofer> .\x64\Release\ThreadStackSpoofer.exe .\tests\beacon64.bin 1 [.] Reading shellcode bytes... [.] Hooking kernel32!Sleep... [.] Injecting shellcode... [+] Shellcode is now running. [>] Original return address: 0x1926747bd51. Finishing call stack... ===> MySleep(5000) [<] Restoring original return address... [>] Original return address: 0x1926747bd51. Finishing call stack... ===> MySleep(5000)[<] Restoring original return address...[>] Original return address: 0x1926747bd51. Finishing call stack...

工具使用演示

下面的例子中，演示了沒有執(zhí)行欺騙技術(shù)時的堆棧調(diào)用情況：

開啟線程堆棧欺騙之后的堆棧調(diào)用情況如下圖所示：

上述例子中，我們可以看到調(diào)用棧中最新的幀為MySleep回調(diào)。我們可以通過搜索規(guī)則查找調(diào)用堆棧未展開到系統(tǒng)庫中的線程入口點：

kernel32!BaseThreadInitThunk+0x14 ntdll!RtlUserThreadStart+0x21

上圖所示為未修改的Total Commander x64線程。正如我們所看到的，它的調(diào)用堆棧在初始調(diào)用堆棧幀方面與我們自己的調(diào)用堆棧非常相似。

總結(jié)

以上是生活随笔為你收集整理的如何使用ThreadStackSpoofer隐藏Shellcode的内存分配行为的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。