文章总结: Nidhogg是一款面向红队的多功能rootkit,集成了多种实用功能。它将所有功能整合在一个驱动程序中,并通过IOCTL进行通信。其主要功能包括进程/线程/文件/注册表项隐藏与保护、绕过内存扫描器、修改进程签名、注入Shellcode和DLL、凭证转储等。此外,它还具备反射加载能力和内置的AMSI/ETW旁路功能。文档也指出了使用反射加载或特定功能(如进程隐藏)时可能触发PatchGuard的风险。 综合评分: 85 文章分类: 红队,恶意软件,二进制安全,渗透测试,内网渗透
Nidhogg:面向红队的多功能rootkit
TtTeam
2026年3月25日 16:43 中国香港
Nidhogg 是一款面向红队的多功能 rootkit。它的目标是提供一个功能齐全、易于使用的 rootkit,为红队演练提供多种实用功能,并且可以通过一个简单的头文件将其集成到您的 C2 框架中。
Nidhogg 最初是为了启发他人而开发的,但随着时间的推移,它不断发展壮大,界面也几经变更。Nidhogg 的所有功能都集成在一个驱动程序中,并且可以通过 IOCTL 进行通信,就像在给定的客户端中实现的那样。这些功能可以分为三类:
持续运行:在后台持续运行的功能(例如:对象/注册表回调)。
半连续运行:驱动程序加载时不会运行的功能,但自从“触发”(用户发送了某个请求)以来,它将一直运行,直到驱动程序卸载时停止或被用户取消(例如:IRP 挂钩)。
立即操作:持续时间短且能立即产生响应的操作(例如:禁用 ETWTI)。
当前功能
-
进程隐藏和取消隐藏
-
工艺提升
-
工艺保护(防杀伤和排空)
-
绕过内存扫描器(例如 pe-sieve)
-
线程隐藏和取消隐藏
-
线材保护(防死线)
-
文件保护(防删除和防覆盖)
-
注册表项和值保护(防删除和防覆盖)
-
隐藏注册表项和值
-
列出当前受保护或隐藏的进程、线程、文件、端口、注册表项和值
-
功能修补
-
内置 AMSI 旁路
-
内置 ETW 补丁
-
进程签名(PP/PPL)修改
-
可反射加载
-
Shellcode注入
-
装甲运兵车
-
NtCreateThreadEx
-
DLL注入
-
装甲运兵车
-
NtCreateThreadEx
-
列出内核回调函数
-
对象回调
-
进程和线程创建例程
-
图像加载例程
-
注册表回调
-
移除和恢复内核回调
-
禁用/启用 ETW 提供程序(例如 ETW-TI)
-
模块隐藏和显示
-
司机隐藏和取消隐藏
-
凭证转储
-
端口隐藏和取消隐藏
-
用于内核模式 COFF 执行的 Nidhogg 目标文件 (NOF)
反射载荷
自 v0.3 版本起,Nidhogg 可以通过kdmapper反射加载 ,但由于 驱动程序注册回调时PatchGuard 会自动触发,因此 Nidhogg 将不会注册任何回调。这意味着,如果您使用反射加载驱动程序,这些功能默认情况下将被禁用:
- 过程保护
- 螺纹保护
- 注册操作
PatchGuard触发功能
据我所知,以下功能会触发 PatchGuard,您仍可自行承担风险使用它们。
- 进程隐藏
- 隐藏线程
- 文件保护
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:TtTeam 《Nidhogg:面向红队的多功能rootkit》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。
评论