Viper项目中的execute-assembly技术深度解析
项目地址: https://gitcode.com/gh_mirrors/vip/Viper 引言
在安全评估和渗透测试中,内存执行技术因其出色的规避效果而备受青睐。本文将深入分析Viper项目中实现的execute-assembly技术,对比其在Metasploit和Cobalt Strike中的实现差异,并详细讲解常见问题的解决方案。
一、execute-assembly技术概述
execute-assembly是一种无文件攻击技术,它允许评估者直接在目标系统的内存中加载和执行.NET程序集(C#编译后的可执行文件),而不需要将文件写入磁盘。这种技术能有效绕过传统安全软件的检测,是现代安全评估中的重要手段。
二、Cobalt Strike中的execute-assembly实现
2.1 基本使用
在Cobalt Strike中,execute-assembly功能已经集成到Beacon中,使用极为简便:
- 将编译好的C#可执行文件(如TestAssembly.exe)放入Cobalt Strike目录
- 在Beacon会话中执行命令:
execute-assembly [/path/to/file.exe] [arguments]
2.2 示例分析
以下是一个典型的C#测试程序,用于展示execute-assembly的功能:
using System;
using System.Management;
namespace TestAssembly {
class Program {
static void Main(string[] args) {
Console.WriteLine("[+] Process: {0}",Distinguish64or32System());
Console.WriteLine("[+] Net Version: {0}", Environment.Version.ToString());
Console.WriteLine(args[0]);
}
private static string Distinguish64or32System() {
try {
string addressWidth = String.Empty;
ConnectionOptions mConnOption = new ConnectionOptions();
ManagementScope mMs = new ManagementScope("//localhost", mConnOption);
ObjectQuery mQuery = new ObjectQuery("select AddressWidth from Win32_Processor");
ManagementObjectSearcher mSearcher = new ManagementObjectSearcher(mMs, mQuery);
ManagementObjectCollection mObjectCollection = mSearcher.Get();
foreach (ManagementObject mObject in mObjectCollection) {
addressWidth = mObject["AddressWidth"].ToString();
}
return addressWidth;
} catch (Exception ex) {
return String.Empty;
}
}
}
}
该程序会输出当前进程架构(32/64位)、.NET版本以及传入的第一个参数。
2.3 优势分析
Cobalt Strike的execute-assembly实现具有以下优势:
- 使用简单,集成度高
- 规避效果好
- 支持参数传递
- 能够捕获程序输出
三、Metasploit中的execute-assembly实现
3.1 官方实现原理
Metasploit通过execute_dotnet_assembly模块实现了类似功能,其核心原理是:
- 使用Reflective DLL技术在内存中加载HostingCLR.dll
- 在目标进程中创建CLR(Common Language Runtime)环境
- 将C#程序集加载到内存中执行
3.2 官方实现存在的问题
问题1:仅支持x64环境
官方仅提供了HostingCLRx64.dll,没有x86版本。这是因为实现中包含了x64特定的汇编代码(用于ETW功能)。
问题2:不支持纯.NET 2.0环境
由于使用了CLRCreateInstance函数(仅.NET 4.0+支持),在仅安装.NET 2.0的系统上无法工作。
问题3:参数处理缺陷
当C#程序接受参数但未提供参数时,会导致执行失败,错误代码0x8002000e。
四、Viper项目中的改进方案
4.1 问题修复方案
4.1.1 多架构支持
解决方案:
- 移除ETW相关功能(对规避影响不大)
- 编译x86和x64双版本HostingCLR.dll
4.1.2 .NET 2.0兼容性
解决方案:
- 使用CorBindToRuntimeEx替代CLRCreateInstance
- 该函数在.NET 2.0中可用,功能相似
4.1.3 参数处理优化
修改后的参数处理逻辑:
if(arg_s[0] != '\x00') {
// 处理有参数的情况
psaStaticMethodArgs = SafeArrayCreateVector(VT_VARIANT, 0, 1);
// ...参数解析逻辑...
} else {
// 处理无参数情况
psaStaticMethodArgs = SafeArrayCreateVector(VT_VARIANT, 0, 1);
long iEventCdIdx(0);
vtPsa.parray = SafeArrayCreateVector(VT_BSTR, 0, 0);
hr = SafeArrayPutElement(psaStaticMethodArgs, &iEventCdIdx, &vtPsa);
}
4.2 改进后效果
修复后的版本具有以下特点:
- 支持x86和x64架构
- 兼容.NET 2.0及以上环境
- 正确处理无参数情况
- 保持原有的规避特性
五、技术实现细节
5.1 CLR环境创建
关键函数调用流程:
- CorBindToRuntimeEx (或 CLRCreateInstance)
- ICLRMetaHost::GetRuntime
- ICLRRuntimeInfo::GetInterface
- ICLRRuntimeHost::Start
5.2 程序集加载与执行
主要步骤:
- 将C#程序集读入内存
- 通过AppDomain加载程序集
- 定位Main方法
- 准备参数并调用
5.3 内存管理
需要注意:
- 正确释放BSTR和SAFEARRAY
- 处理COM对象引用计数
- 异常处理
六、防御与检测建议
对于安全团队,建议关注以下execute-assembly的检测点:
- 异常的CLR加载行为
- 非托管进程中创建托管环境
- 反射加载程序集的操作
- 特定API调用序列(如CorBindToRuntimeEx)
七、总结
Viper项目中的execute-assembly实现解决了官方版本的多项限制,提供了更强大的兼容性和稳定性。通过深入理解其实现原理,安全评估人员可以更有效地利用这一技术,而防御人员则可以更好地防护此类攻击。
在实际应用中,建议:
- 根据目标环境选择合适的版本(x86/x64)
- 测试不同.NET环境下的兼容性
- 合理处理程序输出
- 结合其他技术实现更好的规避效果
通过本文的分析,希望读者能够全面理解execute-assembly技术的实现细节,并在实际评估中合理应用。
创作声明:本文部分内容由AI辅助生成(AIGC),仅供参考
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
