Nidhogg：レッドチーム向けマルチ機能ルートキット

Nidhogg

Nidhoggはレッドチーム向けのマルチ機能ルートキットです。Nidhoggの目標は、C2フレームワークと単一のヘッダーファイルを通じて統合できる、レッドチームの任務に役立つ複数の機能を備えた、オールインワンで使いやすいルートキットを提供することです。ここで例を見ることができます。

Nidhoggはx64 Windows 10およびWindows 11のあらゆるバージョンで動作します。

このリポジトリには、カーネルドライバーと、それと通信するためのC++ヘッダーが含まれています。

Nidhoggは主に他者にインスピレーションを与えるために構築されましたが、1年の間に成長し、そのインターフェースは何度も変更されました。Nidhoggはすべての機能を1つのドライバーに含んでおり、提供されたクライアントで実装されているのと同じようにIOCTLを通じて通信できます。機能は3つのカテゴリーに分類できます：

• 継続的操作：バックグラウンドで継続的に実行される機能（例：オブジェクト/レジストリコールバック）。
• 半継続的操作：ドライバーがロードされたときには実行されていない機能ですが、「トリガーされた」（ユーザーが特定のリクエストを送信した）後、ドライバーのアンロード時に停止されるか、ユーザーによってキャンセルされるまで実行される機能（例：IRPフッキング）。
• 即座の操作：寿命が短く、即座のレスポンスを返す操作（例：ETWTIの無効化）。

現在の機能

• プロセスの隠蔽と表示
• プロセス権限昇格
• プロセス保護（キル対策とダンプ対策）
• メモリスキャナーのバイパス（例：pe-sieve）
• スレッドの隠蔽と表示
• スレッド保護（キル対策）
• ファイル保護（削除対策と上書き対策）
• レジストリキーと値の保護（削除対策と上書き対策）
• レジストリキーと値の隠蔽
• 現在保護されている、または隠蔽されているプロセス、スレッド、ファイル、ポート、レジストリキーおよび値のリスト表示
• 関数パッチング
• 組み込みAMSIバイパス
• 組み込みETWパッチ
• プロセスシグネチャ（PP/PPL）修正
• リフレクティブロードが可能
• シェルコード注入
  • APC
  • NtCreateThreadEx
• DLL注入
  • APC
  • NtCreateThreadEx
• カーネルコールバックのリスト表示
  • Obコールバック
  • プロセスおよびスレッド作成ルーチン
  • イメージロードルーチン
  • レジストリコールバック
• カーネルコールバックの削除と復元
• ETWプロバイダーの無効化/有効化（例：ETW-TI）
• モジュールの隠蔽と表示
• ドライバーの隠蔽と表示
• 認証情報ダンプ
• ポートの隠蔽と表示
• カーネルモードCOFF実行用のNidhoggオブジェクトファイル（NOF）

リフレクティブロード

バージョンv0.3以降、Nidhoggはkdmapperでリフレクティブロードできますが、ドライバーがコールバックを登録するとPatchGuardが自動的にトリガーされるため、Nidhoggはコールバックを登録しません。つまり、ドライバーをリフレクティブロードしている場合、これらの機能はデフォルトで無効化されます：

• プロセス保護
• スレッド保護
• レジストリ操作

PatchGuardをトリガーする機能

これらは私が知っているPatchGuardをトリガーする機能です。自己責任で引き続き使用することもできます。

• プロセス隠蔽
• スレッド隠蔽
• ファイル保護

ダウンロードと使用

著作権所有 (c) 2022, Ido Veltzman
すべての権利を保有。