freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

如何使用REW-sploit模拟和分析MSF以及其他类型的攻击
2021-09-14 19:46:59

关于REW-sploit

REW-sploit是一款功能强大的攻击分析工具,它可以帮助我们分析Windows Shellcode或其他来自Metasploit/Cobalt Strike的攻击活动。

不仅如此,REW-sploit还可以帮助广大研究人员检测其他恶意代码或经过混淆处理的代码

REW-sploit还可以使用简单的脚本代码来自动化分析任务。除此之外,REW-sploit甚至可以从Payload中提取密钥以解密那些由MSF生成的加密流量。

REW-sploit基于很多现有的优秀框架实现其功能,比如说Unicorn和speakeasy-emulator等等。总而言之,REW-sploit就是为蓝队研究人员设计的,可以帮助广大研究人员在分析攻击活动的过程中提供帮助。

功能支持

REW-sploit可以获取Shellcode/DLL/EXE,模拟恶意代码的执行,并给我们提供关于当前安全现状的信息。支持提取的信息包括:

API调用

MSF Payload所使用的加密密钥

解密来自MSF的流量

Cobalt-Strike配置(需安装Cobalt-Strike解析器

工具安装

REW-sploit安装过程非常简单,我们强烈建议大家在Python虚拟环境中使用该工具。

安装命令如下:

# python -m venv <your-env-path>/rew-sploit

# source <your-env-path>/bin/activate

# git clone https://github.com/REW-sploit/REW-sploit.git

# cd REW-sploit

# pip install -r requirements.txt

# ./apply_patch.py -f

# ./rew-sploit

如果你习惯使用Docker的话,大家也可以使用Dockerfile来创建REW-sploit镜像:

docker build -t rew-sploit/rew-sploit .

接下来,使用下列命令启动REW-sploit:

docker run --rm -it --name rew-sploit -v /tmp:/tmp rew-sploit/rew-sploit

安装过程中你将会看到一个名为apply_patch.py的脚本,这个脚本是一个针对speakeasy-emulator的修复脚本,可以实现跟REW-sploit的兼容。

【可选项】你还可以安装Cobalt Stike解析器:

# cd REW-sploit/extras

# git clone https://github.com/Sentinel-One/CobaltStrikeParser.git

自定义YARA规则

modules/emulate_rules.py文件中包含了可以用来拦截恶意代码中有趣部分的YARA谷子额,不过大家也可以根据自己的需要来创建自定义YARA规则:

#

# Payload Name: [MSF] windows/meterpreter/reverse_tcp_rc4

# Search for  : mov esi,dword ptr [esi]

#               xor esi,0x<const>

# Used for    : this xor instruction contains the constant used to

#               encrypt the lenght of the payload that will be sent as 2nd

#               stage

# Architecture: x32

#

yara_reverse_tcp_rc4_xor_32 = 'rule reverse_tcp_rc4_xor {                \

                               strings:                                  \

                                   $opcodes_1 = { 8b 36                  \

                                                  81 f6 ?? ?? ?? ?? }    \

                               condition:                                \

                                   $opcodes_1 }'

工具演示

视频地址:点我观看

项目地址

REW-sploit:GitHub传送门

参考资料

https://www.blackhat.com/us-21/arsenal/schedule/index.html#rew-sploit-dissecting-metasploit-attacks-24086

https://github.com/REW-sploit/REW-sploit_docs

https://github.com/Sentinel-One/CobaltStrikeParser

https://github.com/fireeye/speakeasy/

本文作者:, 转载请注明来自FreeBuf.COM

# 恶意代码检测 # msf # 恶意代码分析
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
评论 按热度排序

登录/注册后在FreeBuf发布内容哦

相关推荐
\
  • 0 文章数
  • 0 评论数
  • 0 关注者
文章目录
登录 / 注册后在FreeBuf发布内容哦
收入专辑