使用GoLang执行Shellcode的技术解析

Webcast: 使用GoLang执行Shellcode

在本Black Hills信息安全（BHIS）网络研讨会中，我们探讨了使用GoLang编写嵌入Shellcode的恶意软件。GoLang是Google开发的现代编程语言，作为C/C++的继任者，它具有跨平台、高性能、多线程特性，并且与C/C++不同，包含了垃圾回收机制！与依赖公共语言运行时且易于反编译的.NET C#相比，GoLang的优势在于编译为本地机器码。我们探讨了如何在同一进程线程空间中用GoLang执行Windows Shellcode，并研究了一种进程注入方法。

如果你是渗透测试人员，希望扩展恶意软件编写技能，学习一点Go(lang)将让你受益匪浅！

录制时间 • 2021-05-20

加入BHIS社区Discord: https://discord.gg/bhis

时间线内容：

00:00 – 专题演示开始：使用GoLang执行Shellcode

01:39 – 介绍Joff Thyer

02:16 – 什么是GoLang？

04:14 – GoLang的各个方面

07:43 – C#还是Go？

09:24 – Go命令行

10:57 – GoLang类型安全

11:31 – 什么是Shellcode？

12:51 – Shellcode的来源

14:50 – 在Windows上执行Shellcode

16:08 – GoLang "unsafe"包

16:55 – Go "syscall"包正在按平台分化

17:50 – GoLang "windows"包

18:22 – "x/sys/windows"包

20:29 – 深入查看系统调用

22:26 – 调用Kernel32.dll中的函数

23:14 – GoLang：Shellcode的字节数组

24:35 – 方法1：直接系统调用

29:32 – 题外话：防病毒和EDR规避的悖论

32:36 – GoLang中的单字节XOR函数

34:02 – 方法2：在同一进程中创建线程

35:50 – GoLang Windows本地DLL

36:57 – 构建本地DLL的步骤

41:18 – 使用本地DLL进行"就地取材"攻击

44:05 – 演示：运行Shellcode

46:42 – 方法3：进程注入

49:07 – 演示 - 远程进程注入

50:10 – 额外资源

50:51 – 演示 - 远程进程注入继续

52:54 – 问答环节

54:39 – 链接：攻击者模拟和C2 - https://www.antisyphontraining.com/enterprise-attacker-emulation-and-c2-implant-development-w-joff-thyer/

你可以直接从Joff本人的课程中了解更多：

• 正则表达式，你的新生活方式
• 企业攻击者模拟和C2植入开发
• Python入门 提供实时/虚拟和点播方式！