PEB_WALK_AND_API_OBFUSCATION_INJECTION

Cet exploit utilise la technique de marche PEB pour résoudre les appels de l'API dynamiquement et obscurcir tous les appels de l'API pour effectuer l'injection de processus. Ces techniciens aideront à contourner l'analyse statique des solutions AV / EDR.

Pour décrire le processus, la marche PEB pour résoudre les adresses de LoadLibrarya et GetProcaddress est la suivante:

• Obtenir et accéder à la structure PEB du processus actuel.
• Accédez à la structure PEB_LDR_DATA à l'aide du membre LDR du PEB.
• Itérer dans InloadOrderModulelist pour localiser le LDR_DATA_TABLE_ENTRY pour Kernel32.dll.
• Une fois que l'entrée de Kernel32.dll est trouvée, extraire son adresse de base.
• Analyser manuellement la table d'exportation de Kernel32.dll pour résoudre les adresses de LoadLibrarya et GetProcaddress.

1. Obtenez la poignée du processus en utilisant OpenProcess.
2. Allouer la région de la mémoire RWX dans un processus distant à l'aide de virtuaallocex
3. Écrivez ShellCode dans une région allouée à l'aide de WriteProcessMemory
4. Créez un thread pour exécuter ShellCode à l'aide de CreateRemoteThread.