NixImports .NET加载器 | API散列规避静态分析插图

介绍

NixImports是一个.NET恶意软件加载器,它使用API散列和动态调用来规避静态分析。

工作原理

NixImports使用我编写的托管API散列实现HInvoke,在运行时动态解析大部分被调用的函数。为了解析这些函数,HInvoke需要两个散列值:typeHash和methodHash。这些散列值代表类型名称和方法的完整名称,在运行时,HInvoke会解析整个mscorlib以找到匹配的类型和方法。由于这个过程,HInvoke不会留下任何对通过它调用的方法的导入引用。

NixImports的另一个有趣特点是尽可能避免调用已知的方法,只要适用,NixImports会使用内部方法而不是它们的包装器。通过仅使用内部方法,我们可以规避一些安全工具所采用的基本钩子和监控。

如果想要更详细的解释,请查看我的博客文章。

你可以使用这个工具为HInvoke生成散列值。

如何使用

NixImports只需要一个.NET二进制文件的文件路径即可。

NixImports.exe <filepath>

它将自动生成一个名为Loader.exe的新可执行文件在其根目录中。加载器可执行文件将包含你编码的载荷和运行它所需的存根代码。

防御者提示

如果你对检测工程和可能的NixImports检测感兴趣,请查看我的博客文章的最后一节。

或者点击这里获取一个覆盖NixImports的基本yara规则。

公开的信息

NixImports
NixImports .NET加载器