https://github.com/mdsecactivebreach/CACTUSTORCH
本质就是用js(jse), vbs(vbe), vba, hta等语法编写了一段代码, 这段代码在运行过程中会解密以字符串形式存储的BASE64编码后的 .NET DLL数据, 然后直接从内存执行该DLL .还将用户指定的shellcode, 要注入文件名传给DLL作为参数. 该DLL创建一个挂起的EXE进程,写入shellcode, 再调用createremotethread创建线程运行shellcode.
里面自己设置几个选项:
- 经过base64编码的shellcode
- 要注入的进程名
- 注入32或64位进程
360的文章说:
值得注意的是,目前很多杀软并没有关注CactusTorch框架使用的加载方式,导致杀软对CactusTorch生成的样本查杀非常不力,而国内杀软目前只有360及瑞星可以查杀此框架生成的样本.
因为这些东西本质上都是一个文本文件, 所以其实查杀就是字符串匹配.
360在上面吹牛, 然后我就自己随便改了下vbs脚本文件, 不影响功能, 就把前面作者注释里的废话删了, 传上VT, 结果360就测不出来了, 说明他字符串提取没提对.
这东西跟我之前发的想法的第一点类似, 在我的考虑中, 这种字符串文本的, 想要静态检测会很困难, 因为变量函数名称之类的东西可以随便改, 以字符串形式编码的DLL数据以及shellcode数据也很容易改变, 想检测这种东西就得靠主动防御.
这个方法可行的原因就在:
可以直接在script host进程和浏览器进程中内存加载和执行.NET程序
补充:
https://github.com/tyranid/DotNetToJScript
这个功能就是把.net程序转成js, vbs, vba
所以其实就是前面cactustorch作者写了个.NET DLL, 然后用这个程序转成了那些文件(代码)。