32ビットMeterpreterはどのように64ビットプロセスに移行しますか?
32ビットMeterpreterを64ビットリモートシステムで実行している場合は、64ビットプロセスに移行できます。
これは何も新しいものではなく、古くからマルウェアに使用されてきましたが、Windows 10でこれをどのように行うのかと思います。
通常、64ビットプロセスで32ビットコードを実行するにはHeaven's Gateを使用しますが、これはWindows 10では不可能になりました。これについては、Alex Ionescuのブログ投稿「Closing Heaven's Gate」で詳しく説明しています。 http://www.alex-ionescu.com/?p=3
移行は次のように機能します。
クライアントはサーバーにリクエストを送信して、ターゲットプロセスの特定のアーキテクチャで新しいペイロードを生成します。
サーバーはペイロードを生成し、それをクライアントに送信します。
クライアントは受信したペイロードをターゲットプロセスに挿入します。 Explorer.exe
クライアントは、ExitThread()を呼び出して、プロセスを終了せずに古い接続を閉じます。
新しいペイロードはサーバーに正常に接続し、新しいコマンドを待ちます。