CactusTorch無檔案攻擊框架
阿新 • • 發佈:2018-12-18
本質就是用js(jse), vbs(vbe), vba, hta等語法編寫了一段程式碼, 這段程式碼在執行過程中會解密以字串形式儲存的.NET DLL資料, 然後直接從記憶體執行惡意.NET程式集.還將使用者指定的shellcode, 要注入檔名傳給DLL作為引數. 該DLL建立一個掛起的EXE程序,寫入shellcode, 再呼叫createremotethread建立執行緒執行shellcode.
裡面自己設定幾個選項:
- 經過base64編碼的shellcode
- 要注入的程序名
- 注入32或64位程序
360的文章說: 值得注意的是,目前很多殺軟並沒有關注CactusTorch框架使用的載入方式,導致殺軟對CactusTorch生成的樣本查殺非常不力,而國內殺軟目前只有360及瑞星可以查殺此框架生成的樣本.
因為這些東西本質上都是一個文字檔案, 所以其實查殺就是字串匹配. 360在上面吹牛, 然後我就自己隨便改了下vbs指令碼檔案, 不影響功能, 就把前面作者註釋裡的廢話刪了, 傳上VT, 結果360就測不出來了, 說明他字串提取沒提對.
這東西跟我之前發的想法的第一點類似, 在我的考慮中, 這種字串文字的, 想要靜態檢測會很困難, 因為變數函式名稱之類的東西可以隨便改, 以字串形式編碼的DLL資料以及shellcode資料也很容易改變, 想檢測這種東西就得靠主動防禦.
這個方法可行的原因就在: 可以直接在script host程序中記憶體載入和執行惡意.NET程式集