介绍
NixImports是一个.NET恶意软件加载器,它使用API散列和动态调用来规避静态分析。
工作原理
NixImports使用我编写的托管API散列实现HInvoke,在运行时动态解析大部分被调用的函数。为了解析这些函数,HInvoke需要两个散列值:typeHash和methodHash。这些散列值代表类型名称和方法的完整名称,在运行时,HInvoke会解析整个mscorlib以找到匹配的类型和方法。由于这个过程,HInvoke不会留下任何对通过它调用的方法的导入引用。
NixImports的另一个有趣特点是尽可能避免调用已知的方法,只要适用,NixImports会使用内部方法而不是它们的包装器。通过仅使用内部方法,我们可以规避一些安全工具所采用的基本钩子和监控。
如果想要更详细的解释,请查看我的博客文章。
你可以使用这个工具为HInvoke生成散列值。
如何使用
NixImports只需要一个.NET二进制文件的文件路径即可。
NixImports.exe <filepath>它将自动生成一个名为Loader.exe的新可执行文件在其根目录中。加载器可执行文件将包含你编码的载荷和运行它所需的存根代码。
防御者提示
如果你对检测工程和可能的NixImports检测感兴趣,请查看我的博客文章的最后一节。
或者点击这里获取一个覆盖NixImports的基本yara规则。
公开的信息
NixImports
NixImports .NET加载器
📮评论