Bypass BeaconEye

2022-03-03 11:36:50 浏览数 (2)

这是[信安成长计划]的第 5 篇文章

0x00 目录

0x01 BeaconEye 检测原理

0x02 Bypass 1

0x03 Bypass 2

0x04 效果图

在之前的三篇文章《Stageless Beacon 生成流程分析》《Beacon C2Profile 解析》《Beacon 上线协议分析》中,已经穿插着将 C2Profile 的全部内容介绍完了,也把 Bypass 所需要的一些内容也都穿插着提到过了,接下来就该说如何对其进行 Bypass

0x01 BeaconEye 检测原理

BeaconEye 是通过 yara 规则来对 Beacon 进行检测的,规则所匹配的就是 C2Profile,在 Beacon 解析完以后,每一项都是占 16 个字节,前 8 个字节是 type,后 8 个字节是 data

为了明确对比一下,先看一下 Java 端的操作,关键需要对比的就是这五条

yara 规则的第一条全为零,是因为 Beacon 在解析的时候直接偏移了 index 个位置

接下来也就都对得上了,类型依次是 short、short、int、int、short,对应过去就是 1、1、2、2、1,后面的值也就都是一样对应了

所以只要能够打破这个规则结构也就可以完成 Bypass 的工作了

0x02 Bypass 1

如果单纯做打破结构的话,将中间的值进行替换就可以了,整个十六个字节,实际需要使用的也就是第一位和后面的数据,中间的一片零都是没有意义的,所以在申请这片内存的时候,直接将其设置成其他值就可以了

直接去改字节兴许还有点困难,再或者就是使用寄存器的赋值操作,将其他寄存器的值,替换到 edx 当中

再者就是 inline Hook,这样所有的问题也都很容易解决了

0x03 Bypass 2

这个方案会比较复杂,但是做完这个以后,之后要做其他的操作就会比较方便了,不管是进行特征修改,还是后续继续做 Beacon 的二次开发也都是非常方便的。

这个方案就是 HOOK,而且需要对两边都需要进行修改才可以,工作量也是比较大的。

整个 C2Profile 的流程是这样的,先在 Controller 按照指定格式组成数组,将其 Patch 到 beacon.dll 当中,再将 beacon.dll Patch 到 Loader 当中,Beacon 在执行的时候再将其解析成后续需要使用的格式。

为了能更方便处理 beacon.dll,最好的方式是重写 Loader,这样对于修改特征等也都会很方便。

接下来需要讨论的就是如何修改,关键函数就是解析 C2Profile 和取值两块,总共四个函数

对于解析是很容易处理的,之前提到过了,当 fdwReason 传入 1 的时候,所执行的是解析 C2Profile 的操作,直接将这个函数 HOOK 掉就好了

对于取值的话,也都是单个独立的函数,所以整体操作的逻辑都是一致的

对于 HOOK 的库自行选择一个自己感觉舒服的就好,重要的还是地址的偏移,下面是 X64 的偏移量

代码语言:javascript复制
ULONG_PTR ulParseProfile = ImageBase   0x18694;
ULONG_PTR ulGetShortValue = ImageBase   0x18664;
ULONG_PTR ulGetIntValue = ImageBase   0x185DC;
ULONG_PTR ulGetPtrValue = ImageBase   0x18630;

后续的代码重写也就非常简单了,申请内存赋值、取 Short、取 Int、取Ptr,这些都按照个人的设计思路来写就可以了

可以很简单的把数据进行罗列,这样在取值的时候会比较麻烦,毕竟不好定位,当然也可以用定长的方式来做

也可以做的很复杂,在中间插入大量的垃圾字符,用一种只有自己才明白的格式来写

有一点需要注意,在 X86 上写三个取值函数的时候,并不能直接去取值,beacon.dll 并不是堆栈传参的,而是通过 edx 来传参的,因为 X86 是支持内嵌汇编的,所以在修改上也是很容易的

代码语言:javascript复制
__asm mov index, edx

0x04 效果图

0 人点赞