PEB_WALK_AND_API_OBFUSCATION_INJECTION

การหาประโยชน์นี้ใช้เทคนิคการเดิน PEB เพื่อแก้ไขการโทร API แบบไดนามิกและทำให้งงงวยการโทร API ทั้งหมดเพื่อทำการฉีดกระบวนการ เทคนิคเหล่านี้จะช่วยข้ามการวิเคราะห์แบบคงที่ของโซลูชั่น AV/EDR

เพื่อร่างกระบวนการ PEB เดินสำหรับการแก้ไขที่อยู่ของ LoadLibrarya และ GetProcaddress มีดังนี้:

• รับและเข้าถึงโครงสร้าง PEB ของกระบวนการปัจจุบัน
• นำทางไปยังโครงสร้าง PEB_LDR_DATA โดยใช้สมาชิก LDR ของ PEB
• วนซ้ำผ่าน inloadorderModuLelist เพื่อค้นหา LDR_DATA_TABLE_ENTRY สำหรับเคอร์เนล 32.dll
• เมื่อพบรายการสำหรับเคอร์เนล 32.dll แล้วให้แยกที่อยู่ฐาน
• แยกวิเคราะห์ตารางการส่งออกของเคอร์เนล 32.dll ด้วยตนเองเพื่อแก้ไขที่อยู่ของ loadlibrarya และ getProcaddress

1. รับที่จับของกระบวนการโดยใช้ OpenProcess
2. จัดสรรภูมิภาคหน่วยความจำ RWX ในกระบวนการระยะไกลโดยใช้ Virtuaallocex
3. เขียน shellcode ลงในภูมิภาคที่จัดสรรโดยใช้ WriteProcessMemory
4. สร้างเธรดเพื่อเรียกใช้งาน ShellCode โดยใช้ CreateMotetHread