Goffloader: In-Memory Execution, No Disk Required
2024/09/04 SecurityOnline — セキュリティ企業 Praetorian は、BOF ファイルや管理されていない Cobalt Strike PE ファイルの実行を、ディスクへのファイル書き込みに依存することなく、メモリ内でダイレクトに実行できるように設計されたツール GoffLoader をリリースした。
GoffLoader は、Go で実装された COFF/PE ローダーであり、 BOF (Beacon Object Files) や管理されていない Cobalt Strike PE ファイルを、セキュリティの専門家がメモリ内でダイレクトに実行できるようにするものだ。このアプローチにより、ファイルをディスクに書き込む必要がなくなり、従来のセキュリティ防御をバイパスする強力なツールとなる。
GoffLoader は、Go ベースのツールに C/C++ の機能をシームレスに統合することで、豊富なセキュリティ機能を提供する。この合理的なアプローチにより、CGO (C language bindings for Go) を使用する複雑さが解消される一方で、セキュリティに特化したコードの豊富なライブラリへのアクセスが可能になる。
ディスク上に痕跡を残さず、メモリ上にコードをロードして実行する機能は、静的シグネチャ検出を回避する上で大きな利点となる。開発者たちは、複雑な回避テクニックに頼ることなく、有名な認証情報採取ツールである Mimikatz の組み込みバージョンを実行することで、この能力の実証に成功している。
GoffLoader のユーザー・フレンドリーなデザインは、既存の Go プロジェクトとの統合を容易にしている。go:embed ディレクティブは、BOF や PE ファイルのシームレスなロードを可能にし、GitHub リポジトリで提供されるサンプルは、その使用方法についての明確なガイダンスを示している。
すでに GoffLoader は強力なツールだが、現在も開発が続いているという。将来のアップデートでは、32-Bit システムのサポート/PE 実行の柔軟性の向上/Beacon API の広範な実装が約束されている。
タイトルにある COFF/PE ですが、COFF は Common Object File Format のことであり、PE は Portable Executable のことのようです。前者は Unix で、後者は Windows となります。それにしても、この GoffLoader はパワフルなツールですね。今後、悪用されるケースも生じてくると思いますので、注意が必要ですね。
IoT OT Security News 
You must be logged in to post a comment.