Moonwalk++:Stack Moonwalking とメモリ自己暗号化の PoC

Security
Moonwalk++:Stack Moonwalking とメモリ自己暗号化の PoC

Moonwalk++:Stack Moonwalking とメモリ自己暗号化の PoC

Moonwalk++ は、呼び出し元をコールスタックから除去する「StackMoonwalk」と、実行中のシェルコードを自己暗号化して解析を困難にするメモリ自己暗号化ルーチンを組み合わせた Proof‑of‑Concept(PoC)です。ROP(リターン・オリエンテッド・プログラミング)を利用して例外処理やアンワインディング(スタック巻き戻し)と制御フローを意図的に非同期化し、同時にシェルコードを暗号化・復号して検査やフォレンジックから隠蔽するアプローチを示します。研究目的の実装であり、攻撃技術の理解と防御対策検討に資するリポジトリです。

https://github.com/klezVirus/Moonwalk--

概要

Moonwalk++ は、既存の StackMoonwalk 技術を拡張した実験的な実装で、スタック上の呼び出し元情報を取り除く手法と、メモリ上のシェルコードを実行時に自己暗号化する手法を組み合わせています。ROP 技術を用いて例外処理系(アンワインド)と実際の制御フローを意図的に同期させないことで、通常のスタックトレースや静的/動的解析でコードの由来や実行箇所を特定しづらくします。また、自己暗号化により実行中のデータ領域を断続的に暗号化・復号することで、メモリスキャンやフォレンジックの抑止を図る設計となっています。研究や防御検討を目的とした PoC です。

GitHub

リポジトリの統計情報

  • スター数: 38
  • フォーク数: 5
  • ウォッチャー数: 38
  • コミット数: 2
  • ファイル数: 4
  • メインの言語: C++

主な特徴

  • StackMoonwalk の技術を継承し、呼び出し元(caller)をコールスタックから除去することでトレースを困難にする。
  • 実行中のシェルコードを断続的に自己暗号化/復号するメモリ自己暗号化ルーチンを組み込み、メモリ解析からの隠蔽を試みる。
  • ROP(Return-Oriented Programming)チェーンを利用してアンワインディング(スタック巻き戻し)と制御フローを分離、解析ツールの期待するフローと実際のフローを乖離させる。
  • PoC 実装として最小限の依存で動作し、研究者や対策担当者が技術を理解・評価するための参考になる構造。

技術的なポイント

Moonwalk++ の中核は「スタック上の痕跡を消す技術」と「実行時にメモリを暗号化する技術」を ROP によって組み合わせ、攻撃検知やフォレンジックの困難化を図る点にあります。StackMoonwalk 系のアプローチでは、通常の関数戻り先やフレームポインタに依存するトレースを壊すため、呼び出し情報を意図的に改変/除去する操作を行います。これにより、デバッガやスタックトレースを用いた解析で「誰が呼んだか」を辿りにくくします。

一方、自己暗号化はメモリ上に配置されたシェルコードを単一の平文状態で長時間保持しないようにすることで、メモリスキャン(AV や EDR のシグネチャ検査、静的メモリダンプ解析)を回避する手法です。PoC では ROP を用いて暗号化/復号の小さなガジェットを連続実行し、実行直前のみ復号して即座に再暗号化するパターンを示しています。ROP を介することで、通常の順序とは異なるトレースが生まれ、アンワインディング(例:例外発生時のスタック巻き戻し)を用いる解析器と実際の命令退避のタイミングがずれます。

実装上の注目点としては、依存関係を減らした C++ ベースの最小構成で ROP チェーンを組み立てている点、暗号化ロジックが実行順序と密接に結びついている点が挙げられます。ただし PoC であるため、実運用を想定した堅牢性や幅広いプラットフォーム対応は限定的です。さらに、本手法は近年の防御技術(CET や Shadow Stack、DEP/W^X、制御フロー整合性)によって有効性が大きく制約される可能性があります。検出回避の観点では、短時間での復号・再暗号化やシグネチャ非一致を狙う工夫が有効ですが、動的挙動のプロファイリングやメモリアクセスの異常検知、コード整合性検査では検出されうることに留意が必要です。

最後に倫理的観点として、この種の PoC は防御研究や教育目的で重要ですが、悪用されるリスクもあるため、利用は法令や倫理に則った範囲に限定すべきです。作者も PoC と明示しており、セキュリティ評価や検知技術の改良に資する用途での参照が推奨されます。

プロジェクトの構成

主要なファイルとディレクトリ:

  • .gitignore: file
  • LICENSE: file
  • Moonwalk—: dir
  • README.md: file

まとめ

StackMoonwalk と自己暗号化を組み合わせた実験的 PoC。防御側の評価や研究に有用。

リポジトリ情報:

READMEの抜粋: # Moonwalk++

PoC Implementation combining Stack Moonwalking and Memory Encryption.

TL;DR

Moonwalk++ is a PoC implementation of an enahnced version of StackMoonwalk, which combines its original technique to remove the caller from the call stack, with a memory self-encryption routine, using ROP to both desynchronize unwinding from control flow and simultaneously encrypt the executing shellcode to hide it from inpection.

Read more in…