最近在工作中,我们的团队正在进行一项重要的安全演练,目的是为了验证我们现有防御措施的有效性。作为网络安全人员,我们经常需要模拟攻击场景,以测试公司的应急响应能力和安全防护水平。在这些演练中,获取敏感数据的方式往往是关键环节之一,这让我想起了一个强大的开源工具——ShadowDumper。
在渗透测试和红队活动中,我们时常需要从LSASS(本地安全认证子系统服务)进程中提取内存信息。在以往的测试中,传统的方法常常会被各种安全软件监测到,导致任务失败。而我发现,ShadowDumper可以通过多种技术手段来转储 LSASS 内存,让我们能更隐蔽地执行这一敏感操作。
这款工具的亮点在于它能够使用“解除挂钩”技术来注入修改后的Mimikatz二进制文件。这样的做法让我们得以绕过一些高级威胁检测(EDR)系统,从而提高了成功率。更妙的是,它还支持多种注入方法,比如直接系统调用和进程分叉技术,这些都极大地增强了隐身性。我们在演练中使用这些技术,不仅能够减少被检测的风险,还能迅速获取所需的数据。
我特别喜欢的是ShadowDumper提供的用户友好的控制台界面,让我可以根据实际需求灵活选择不同的转储选项。例如,有时候我只想快速用简单的API提取内存,而其他时候则可能需要进行更复杂的操作,比如利用回调函数进行自定义处理。这样的灵活性对于我们的测试工作来说非常重要。
想要获取工具的小伙伴可以直接拉至文章末尾
我们来提取并讨论上述工具描述中涉及的网络安全关键技术点:
-
解除挂钩技术可以绕过高级威胁检测(EDR)系统的监测。这种方法通过修改进程的行为,避免被常规的安全软件检测到。在实际应用中,解除挂钩允许攻击者或渗透测试者以隐蔽方式注入恶意代码,从而获取敏感信息。理解这一点对于防护策略的制定尤为重要,因为它揭示了传统防护措施的盲区。
-
通过MDWD(MiniDumpWriteDump)实现的直接系统调用是提高隐蔽性的有效手段。这种方法减少了与标准API交互所产生的痕迹,使得黑客或者渗透测试人员能更安全地从目标系统提取信息。了解这种机制,可以促使我们在设计安全防护时,更加注重检测非标准行为的能力。
-
进程分叉是一种巧妙的技术,可用于创建内存克隆,进而避免直接访问目标进程。这意味着即使目标进程受到监控,攻击者仍然能够通过克隆的方式获取数据。这一技术点强调了在多任务环境下进程之间的隔离和监控的重要性,为防御团队提供了新的思路,如何在进程间建立有效的监控和响应机制。
-
利用MINIDUMP_CALLBACK_INFORMATION回调,用户可以自定义处理转储过程。这样的灵活性使得在不同场景下,攻击者可以根据情况调整策略。这也提醒我们,在设计防御方案时,应考虑到可能存在的定制化攻击手段,并建立足够的灵活性应对各种情况。
-
ShadowDumper支持生成具有离线解析基本流的本机转储,这意味着它在执行过程中可以降低被检测的风险。这种“低噪音”特性显示了在现代安全环境中,攻击者越来越倾向于使用不易被发现的方式进行操作,因此我们在防护措施上必须更加细致,尤其是在流量分析和日志监控方面。
下载链接
https://github.com/Offensive-Panda/ShadowDumper
原文始发于微信公众号(白帽学子):转储LSASS内存的强大神器
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论