PEB_WALK_AND_API_OBFUSCATION_INJECTION

이 악용은 PEB 워크 기술을 사용하여 API 호출을 동적으로 해결하고 모든 API 호출을 난독 화하여 프로세스 주입을 수행합니다. 이 기술은 AV/EDR 솔루션의 정적 분석을 우회하는 데 도움이됩니다.

프로세스를 간략하게 설명하기 위해 LoadLibrarya 및 GetProcaddress의 주소를 해결하기위한 PEB 워크는 다음과 같습니다.

• 현재 프로세스의 PEB 구조를 얻고 액세스하십시오.
• PEB의 LDR 멤버를 사용하여 PEB_LDR_DATA 구조로 이동하십시오.
• kernel32.dll의 ldr_data_table_entry를 찾으려면 inloadorderModulelist를 통해 반복하십시오.
• Kernel32.dll의 항목이 발견되면 기본 주소를 추출하십시오.
• Kernel32.dll의 내보내기 테이블을 수동으로 구문 분석하여 loadlibrarya 및 getProcaddress의 주소를 해결합니다.

1. OpenProcess를 사용하여 프로세스 핸들을 가져옵니다.
2. virtuaallocex를 사용하여 원격 프로세스에 RWX 메모리 영역을 할당하십시오
3. WriteProcessMemory를 사용하여 할당 된 영역에 쉘 코드를 작성하십시오
4. CreateRemoteThread를 사용하여 Shellcode를 실행할 스레드를 만듭니다.