Inyector

2 min readFeb 1, 2023

Hola estimada red hace un tiempo no codeaba un poco quiero compartir una pequeña prueba de concepto (INYECTOR)

es una herramienta desarrollada en GO la cual consta de un servidor el cual se encarga de realizar la generacion de shellcode y luego cifrarlo basicamente con XOR + KEY y una capa adicional de B64 para codificar

en segunda instacia levanta un servidor TCP para recibir la conexion de la shell reverse

la cual cuando es se entrega por medio de un loader cuya funcion es llamar de un servidor web http-https la carga encryptada para luego realizar el proceso de decodificacion retonarla a BYTES y generar una busqueda de procesos que estan hardcodeados en el codigo como:

chrome.exe

msedge.exe

explorer.exe

cuando el stage logra recorrer todos los procesos ejecutados en la instacia e identifica alguno de su slice se inyecta en el.

para esta etapa se usan llamadas al sistema (Syscall)

NtOpenProcess function (ntddk.h) - Windows drivers

The ZwOpenProcess routine opens a handle to a process object and sets the access rights to this object. __kernel_entry…

learn.microsoft.com

NtAllocateVirtualMemory function (ntifs.h) - Windows drivers

The NtAllocateVirtualMemory routine reserves, commits, or both, a region of pages within the user-mode virtual address…

learn.microsoft.com

pinvoke.net: NtWriteVirtualMemory (ntdll)

Summary Writes memory in the current or a remote process C# Signature: [DllImport("ntdll.dll", SetLastError=true)]…

pinvoke.net

pinvoke.net: NtCreateThreadEx (ntdll)

Summary Creates a new thread in the local or a remote process C# Signature: [DllImport("ntdll.dll", SetLastError=true)]…