PEB_WALK_AND_API_OBFUSCATION_INJECTION

Eksploitasi ini menggunakan teknik Walk PEB untuk menyelesaikan panggilan API secara dinamis dan mengaburkan semua panggilan API untuk melakukan injeksi proses. Technqies ini akan membantu memotong analisis statis solusi AV/EDR.

Untuk menguraikan prosesnya, PEB Walk untuk menyelesaikan alamat LoadLibrarya dan GetProcaddress adalah sebagai berikut:

• Dapatkan dan akses struktur PEB dari proses saat ini.
• Arahkan ke struktur PEB_LDR_DATA menggunakan anggota LDR PEB.
• Iterasi melalui InloadOrderModulelist untuk menemukan ldr_data_table_entry untuk kernel32.dll.
• Setelah entri untuk kernel32.dll ditemukan, ekstrak alamat dasarnya.
• Secara manual menguraikan tabel ekspor kernel32.dll untuk menyelesaikan alamat LoadLibrarya dan GetProcaddress.

1. Dapatkan pegangan proses menggunakan OpenProcess.
2. Alokasikan wilayah memori RWX dalam proses jarak jauh menggunakan VirtuaAllocex
3. Tulis shellcode ke wilayah yang dialokasikan menggunakan writeProcessMemory
4. Buat utas untuk menjalankan shellcode menggunakan createremotethread.