关于SuperdEye
SuperdEye是一款基于纯Go实现的间接系统调用执行工具,该工具是TartarusGate 的修订版,可以利用Go来实现TartarusGate 方法进行间接系统调用。
该工具的目标是为了扫描挂钩的NTDLL并检索Syscall编号,然后使用它来执行间接系统调用,从而允许绕过基于函数钩子的AV/EDR。
工具功能
该工具将扫描已挂钩的 NTDLL。一旦找到目标函数,如果该函数被 AV 或 EDR 挂钩,将扫描上下相邻函数,直到找到干净的系统调用。这将允许计算目标函数的 ssn。一旦找到 ssn,就会构建一个间接系统调用。
工具运行原理如下图所示:
工具要求
Golang
工具安装
由于该工具基于Go开发,因此我们首先需要在本地设备上安装并配置好最新版本的Go语言环境。
接下来,广大研究人员可以直接使用下列命令将该项目源码克隆至本地:
git clone https://github.com/almounah/superdeye.git
工具使用
该工具的使用非常简单,我们只需要直接导入包并使用即可。
SuperdEye 包公开了SuperSyscall,并可直接将其用于执行间接系统调用:
import ("fmt""unsafe""github.com/almounah/superdeye")...NTSTATUS, err = superdeye.SuperdSyscall("NtCreateThreadEx", uintptr(unsafe.Pointer(&hThread)), uintptr(0x1FFFFF), uintptr(0), handleProcess, pBaseAddress, uintptr(0), uintptr(0), uintptr(0), uintptr(0), uintptr(0), uintptr(0))if err != nil {fmt.Println("Syscall was not executed... Likely the Syscall was not found or a bug...")fmt.Println(err.Error())}fmt.Println("Syscall NtCreateThreadEx Made with NTSTATUS ", NTSTATUS)
为了更好的可用性,一些系统调用已经跟官方包golang.org/x/sys/windows封装到一起以实现更好的兼容性:
import ("fmt""unsafe""github.com/almounah/superdeye""golang.org/x/sys/windows")...pBaseAddress, NTSTATUS, err := superdeye.NtAllocateVirtualMemory(windows.Handle(handleProcess), uintptr(0), uintptr(len(payloadClearText)), windows.MEM_COMMIT|windows.MEM_RESERVE, windows.PAGE_EXECUTE_READWRITE)if err != nil {fmt.Println("Syscall was not executed... Likely the Syscall was not found or a bug...")fmt.Println(err.Error())}fmt.Println("Syscall NtAllocateVirtualMemory Made with NTSTATUS ", NTSTATUS)...
未来将有更多 Syscalls 与官方 Windows 包兼容(欢迎贡献superdwrapper.go的代码)。
工具运行效果
项目地址
SuperdEye:【GitHub传送门】
参考资料
GitHub - C-Sto/BananaPhone: It's a go variant of Hells gate! (directly calling windows kernel functions, but from Go!)
GitHub - f1zm0/acheron: indirect syscalls for AV/EDR evasion in Go assembly
Mushoku Tensei: Isekai Ittara Honki Dasu - MyAnimeList.net
)
)
