Simple ShellcodeLoader(自制VT5/70)

hansyu

DisaPDB 发表于 2024-2-25 16:33
就是之前讨论到的沙箱对SysCall的防御

好像只有付费沙盒才有SysCallLockDown的功能，所以能防御吗？

DisaPDB

hansyu 发表于 2024-2-25 17:11
好像只有付费沙盒才有SysCallLockDown的功能，所以能防御吗？

sandboxie在1.3.1/5.58.1引入了SysCallLockDown功能

SysCallLockDown=y”将使用原始进程令牌执行的 ntdll 系统调用的数量限制为已知已批准的系统调用列表

也就是沙箱内的程序会强行降权
而他们在2019年就已经开源免费了

GDHJDSYDH

DisaPDB 发表于 2024-2-25 17:15
sandboxie在1.3.1/5.58.1引入了SysCallLockDown功能

也就是沙箱内的程序会强行降权

SCLD这个加强型功能貌似只有加强型沙盒才有（没有赞助者凭据的话只能使用5分钟），我查看了SBIE的ini，里面没有SysCallLockDown=y；DAR倒是有

DisaPDB

GDHJDSYDH 发表于 2024-2-26 10:55
SCLD这个加强型功能貌似只有加强型沙盒才有（没有赞助者凭据的话只能使用5分钟），我查看了SBIE的ini，里 ...

实际上他们在ntdll中挂的钩子还是属于r3范畴，在沙盒内依然存在unhook的可能性

GDHJDSYDH

DisaPDB 发表于 2024-2-26 12:12
实际上他们在ntdll中挂的钩子还是属于r3范畴，在沙盒内依然存在unhook的可能性

我记得有个unhook ntdll并且执行payload的样本，在这个贴子里https://bbs.kafan.cn/thread-2266210-2-1.html ，有人用毛豆测了这个样本，样本被自动入沙而且提示错误，这是防住了吗？貌似SBIE对于令牌的限制使得即便拆钩也不能直接利用SysCall来着

sudfiona

比特梵德，解压后

1. 偵測到受感染的檔案
   
2. 現在
   
3. 
   
4. 功能：
   
5. 防毒
   
6. 
   
7. 檔案 C:\Users\10300\AppData\Local\Temp\BNZ.65dc24c318e0f5\Client.bin 已感染 Generic.ShellCode.Donut.Marte.2.186F7A86 並移至隔離區。建議您執行系統掃描以確保您的系統乾淨。

复制代码

exe文件打开后自动关闭

DisaPDB

GDHJDSYDH 发表于 2024-2-26 13:15
我记得有个unhook ntdll并且执行payload的样本，在这个贴子里https://bbs.kafan.cn/thread-2266210-2-1.h ...

When a malicious application would unhook ntdll.dll, for example, by trying to use direct syscalls to the Windows kernel, the kernel would see the restricted user token and operations would fail with an access denied.

如果是这种情况的话，可以尝试从system32目录下加载一个干净的Ntdll.dll，再将 Ntdll.dll 的新副本从磁盘映射到进程内存。这样就可以重载Ntdll从而移除Hook，然后可以再尝试SysCall？


仅做猜测，未实践。（不过感觉沙盒内不会分配这么大内存）

Tant

天守杀exe

祸兮福所倚

yaokai815

金山毒霸miss