LOLSpoof 是一个交互式 shell 程序,可自动伪造所生成进程的命令行参数。只需调用看似有罪的命令行LOLBin(例如),LOLSpoof 就会确保进程创建遥测看起来合法且清晰。<a href="https://www.kitploit.com/search/label/PowerShell" target="_blank" title="powershell">powershell</a> -w <a href="https://www.kitploit.com/search/label/Hidden" target="_blank" title="hidden">hidden</a> -enc ZwBlAHQALQBwAHIAbwBjAGUA....
为什么
进程命令行是一种受到严格监控的遥测技术,会受到 AV/EDR、SOC 分析师或威胁猎手的彻底检查。如何
- 准备真实命令行中的欺骗命令行:lolbin.exe " " * sizeof(real arguments)
- 使用伪造的命令行暂停 LOLBin 的生成
- 获取远程 PEB 地址
- 获取 RTL_USER_PROCESS_PARAMETERS 结构的地址
- 获取命令行unicode缓冲区的地址
- 用真实命令行覆盖虚假命令行
- 恢复主线程
Opsec 注意事项
虽然这种简单的技术有助于绕过命令行检测,但它可能会引入其他可疑的遥测数据:1. 创建暂停进程 2. 新进程有尾随空格(但很容易将其改为重复字符甚至随机数据)3. 使用 WriteProcessMemory 写入衍生进程建造
使用 Nim 1.6.12 构建(使用 Nim 2.X 编译会产生错误!)nimble install winim
已知问题
清除或更改以前打印的控制台消息的程序(例如timeout.exe 10)会破坏程序。使用此类命令时,您需要重新启动控制台。不知道如何修复,欢迎提出建议。下载 LOLSpoof
