Im letzten Teil dieses Artikels zeigen wir, wie man shellcode schreibt.
Enfin, la dernière partie présente la construction d'un shellcode.
Im letzten Schritt initialisiert der Shellcode eine in dem PDF-Dokument eingebettete PE-Datei und übergibt die Ausführung an sie.
Lors de l'étape finale, le shellcode initialise un fichier PE incorporé dans le PDF et lui confie l'exécution.
Der extrahierte Shellcode ist derselbe, den die OceanLotus-Gruppe seit geraumer Zeit verwendet.
Le shellcode extrait est le même que celui que le groupe OceanLotus utilise depuis un certain temps déjà.
Der Shellcode wird normalerweise einem verwundbaren Programm über ein Kommandozeilenargument, eine Umgebungsvariable oder über eine Benutzereingabe übergeben.
Le shellcode est classiquement introduit dans un programme vulnérable par le biais d'un argument de ligne de commande, d'une variable d'environnement ou d'une chaîne saisie.
Danach ersetzen wir die Rücksprungadresse der main() Funktion auf dem Stack mit unserem Shellcode aus dem Character Array.
Nous allons remplacer l'adresse de retour de la fonction main(), qui se trouve dans la pile par l'adresse de la table contenant le shellcode.
Wie wir in diesem letzten Beispiel sehen, kann man dem Shellcode Funktionen hinzufügen. Zum Beispiel, um aus einem Verzeichnis, das mit chroot() gesetzt wurde, herauszukommen oder, um eine Remoteshell über einen Socket zu starten.
Comme le montre ce dernier exemple, il est possible d'ajouter des fonctions à un shellcode, par exemple pour sortir du répertoire imposée par la fonction chroot() ou ouvrir un shell à distance en utilisant une socket.
einfacher zu ändern (keine festen Offsets im Shellcode, und der Shellname kann auch geändert werden - die Länge ist nicht fest)
Très facile à modifier (pas de segment fixé dans le shellcode et le nom du shell peut être changé. De plus, la taille n'est pas fixée)
Dieses BLOB enthält einen verschlüsselten Shellcode, der das abschließende PLEAD-Backdoor-Modul herunterlädt.
Ce blob binaire contient un shellcode chiffréé, qui télécharge le module final de la porte dérobée Plead.
Turlas Kampagne basiert immer noch auf einem Fake Flash Installer. Aber anstelle direkt zwei schädliche DLLs abzulegen, führt die Turla-Malware Metasploit Shellcode aus und legt dann den legitimen Flash Installer ab (oder lädt ihn von Google Drive herunter).
La campagne de Turla s'appuie toujours sur un faux installateur Flash mais, au lieu de déposer directement les deux DLL malveillantes, elle exécute un shellcode Metasploit et dépose, ou télécharge depuis Google Drive, un installateur Flash légitime.
Der 32-Bit-Wert zwischen den AABBCCDD- und den yyyy-Markierungen ist der Offset zum nächsten Shellcode.
Les 32 bits entre les marqueurs AABBCCDD et yyyy forment le lien vers le shellcode suivant.
Der Shellcode ist derselbe PE-Loader, der bereits in früheren OceanLotus-Kampagnen zum Einsatz kam.
Le shellcode est le même chargeur PE utilisé dans les campagnes OceanLotus précédentes.
Der Zweck von Shellcode ist es, eine Shell zu starten.
Diese Art von Code, die ein Shell startet, nennt man im allgemeinen shellcode.