关于FUD-UUID-Shellcode

FUD-UUID-Shellcode是一款功能强大的Shellcode注入工具，该工具基于C++语言开发，并使用了异或XOR加密技术UUID字符串混淆来尝试绕过Windows Defender。广大研究人员可以使用该工具测试目标系统的安全性，或研究Windows Defender相关的安全问题。

工作机制

Shellcode生成

首先，该工具会以二进制源码的形式生成一个Payload（使用CobaltStrike或msfvenom），以msfvenom举例，我们可以通过下列方式生成一个Payload：

msfvenom -p windows/messagebox  -f raw -o shellcode.bin

然后工具会使用提供的Python 3脚本（bin_to_uuid.py）将Shellcode转换为UUID字符串格式：

./bin_to_uuid.py -p shellcode.bin > uuid.txt

接下来，工具会使用另一个Python 3脚本（xor_encryptor.py）对uuid.txt中的UUID字符串进行异或XOR加密：

./xor_encryptor.py uuid.txt > xor_crypted_out.txt

最后，拷贝输出文件（xor_crypted_out.txt）中的C-style数组到C++文件中（以unsigned char形式，比如说unsigned char payload[]{your_output_from_xor_crypted_out.txt}）。

Shellcode注入执行

该工具实现的Shellcode注入技术由以下几个步骤序列组成：

1、使用VirtualAlloc给Payload的执行和持久化分配虚拟内存；

2、使用xor键值对Payload进行异或解密；

3、使用UuidFromStringA将UUID字符串恢复为代码形式，并将其存储在之前（第一步）分配的内存中。这样可以避免使用类似WriteProcessMemory或memcpy这样的可疑API；

4、使用EnumChildWindows执行之前（第一步）加载在内存中的Payload；

工具注意事项

1、我们可以自行修改异或加密使用的密钥，直接修改./xor_encryptor.py中的KEY变量即可；

2、可以修改修改./xor_encryptor.py中的“excutable filename”值来修改默认的文件名；

3、在编译项目代码时，也可以使用mingw；

工具下载

广大研究人员可以使用下列命令将该项目源码克隆至本地：

git clone https://github.com/Bl4ckM1rror/FUD-UUID-Shellcode.git

工具编译

打开终端窗口，然后切换到项目目录中，并运行make命令编译项目代码即可：

make

AV扫描结果

概念验证PoC

代码静态分析结果

反病毒产品扫描结果

工具代码在antiscan.me上的扫描结果如下（2022年01月08日）：

项目地址

FUD-UUID-Shellcode：【GitHub传送门】

参考资料

https://research.nccgroup.com/2021/01/23/rift-analysing-a-lazarus-shellcode-execution-method/

https://antiscan.me/scan/new/result?id=3IYj6CtMq6h8