Chimera:一款带有EDR规避功能的自动化DLL侧加载工具
2023-9-22 13:58:24 Author: www.freebuf.com(查看原文) 阅读量:2 收藏

关于Chimera

Chimera是一款带有EDR规避功能的自动化DLL侧加载工具,在该工具的帮助下,广大研究人员可以在渗透测试过程中,绕过EDR的检测并实现自动化DLL侧加载。

虽然DLL侧加载可以用于合法目的,例如加载程序运行所需的库,但也可以用于恶意目的。而攻击者通常可以通过利用用于加载DLL的合法应用程序中的漏洞,从而使用DLL侧加载技术在目标系统上执行任意代码。

为了自动化实现DLL侧加载过程并提升其效率,我们专门设计并开发了Chimera,并且还引入了EDR/AV产品绕过功能。该工具能够通过XOR并使用随机密钥来对Shellcode执行自动化加密,并创建可以导入到Visual Studio的模板镜像以创建一个恶意ELL。

除此之外,该工具还使用了SysWhispers2的动态系统调用和一个修改版本的汇编代码库来规避EDR的搜索模式,

该工具经过测试,证明在绕过EDR/AV产品和在目标系统上执行任意代码方面是有效的。

工具安装

由于该工具基于Python 3开发,因此我们首先需要在本地设备上安装并配置好Python 3环境。接下来,广大研究人员可以使用下列命令将该项目源码克隆至本地:

git clone https://github.com/georgesotiriadis/Chimera.git

Chimera的运行不需要安装其他额外的依赖组件。

工具使用

当前版本的Chimera支持两种DLL选项,即Microsoft teams或Microsoft OneDrive。

我们可以创建userenv.dll(Microsoft Teams缺少的DLL),并将其插入到指定的目录路径中:

%USERPROFILE%/Appdata/local/Microsoft/Teams/current

针对Microsoft OneDrive,工具脚本会使用常见的版本DLL,因为onedriveupdater.exe代码中一般都没有这个DLL。

工具使用命令样例

python3 ./chimera.py met.bin chimera_automation notepad.exe teams
python3 ./chimera.py met.bin chimera_automation notepad.exe onedrive

参数选项

[raw payload file] : 包含Shellcode的文件路径

  [output path] : 输出C模版文件的路径

  [process name] : 要注入Shellcode的进程名称

  [dll_exports] : 指定要使用的DLL导出,即teams或onedrive

  [replace shellcode variable name] : [可选] 使用一个唯一的名称替换Shellcode的变量名

  [replace xor encryption name] : [可选] 使用一个唯一的名称替换XOR加密名称

  [replace key variable name] : [可选] 使用一个唯一的名称替换密钥变量名

  [replace sleep time via waitable timers] : [可选] 设置一个新的休眠时间

Visual Studio项目配置

首先,我们需要使用DLL模版创建一个新的Visual Studio项目:

将镜像导入到Visual Studio项目中,并选择“Build Customizations”进行自定义构建。

启动MASM:

然后进入属性配置页面:

最终的项目结构如下图所示:

编译器优化配置

修改优化配置:

然后移除调试信息:

许可证协议

本项目的开发与发布遵循MIT开源许可证协议。

项目地址

Chimera:【GitHub传送门

参考资料

https://www.ired.team/offensive-security/code-injection-process-injection/early-bird-apc-queue-code-injection

https://evasions.checkpoint.com/

https://github.com/Flangvik/SharpDllProxy

https://github.com/jthuraisamy/SysWhispers2

https://systemweakness.com/on-disk-detection-bypass-avs-edr-s-using-syscalls-with-legacy-instruction-series-of-instructions-5c1f31d1af7d

https://github.com/Mr-Un1k0d3r


文章来源: https://www.freebuf.com/sectool/378888.html
如有侵权请联系:admin#unsafe.sh