议题解读:Operation Bypass Catch My Payload If You Can

  • A+
所属分类:安全闲碎


前言:


      本次简单解读的议题为:Operation Bypass Catch My Payload If You Can


        pdf下载地址:

 https://github.com/Tylous/Slides/blob/main/Operation%20Bypass%20Catch%20My%20Payload%20If%20You%20Can.pdf


        视频回放地址:

https://www.youtube.com/watch?v=JXKNdWUs77w


议题解读:Operation Bypass Catch My Payload If You Can



正文


    文章就白话文一些了,少扯犊子,多聊技术。首先议题的作者是免杀工具稻草人(https://github.com/optiv/ScareCrow)的作者,然后这次作为议题配套工具

发布了SourcePoint(https://github.com/Tylous/SourcePoint),对技术不感兴趣的小伙伴看到这里就够了,去使用工具就可以了。下面会是议题的简单讨论。


    首先作者提出了最近EDR/P的常见保护措施:


  • 用户层HOOK

  • 内核回调

  • ETW事件检测

  • AI机器学习



议题解读:Operation Bypass Catch My Payload If You Can


然后作者给出了常见的绕过方法:


  • 进程注入:这里有很多了就Process Hollowing、APC Queue等等,有兴趣的可以看https://i.blackhat.com/USA-19/Thursday/us-19-Kotler-Process-Injection-Techniques-Gotta-Catch-Them-All.pdf


  • Undocumented API calls for Execution:可以理解为一些不常见的API调用执行,比如之前的各类回调加载shellcode,可以康康:https://github.com/S4R1N/AlternativeShellcodeExec



  • BlockDLLs:保护自己的进程不被注入,xpn写过相关文章:https://blog.xpnsec.com/protecting-your-malware/



  • Custom Syscalls:这个就不多说了,大火的syscall



议题解读:Operation Bypass Catch My Payload If You Can


然后作者又给出来了用来防御上面这些技巧的防御手法:


  • 代码签名

  • 白名单控制

  • XDR




议题解读:Operation Bypass Catch My Payload If You Can



然后就是绕过手法了


  • 对抗像CrowdStrike或Sentinel One这样的产品时,避免使用blockdlls

  • 利用本机允许的进程来加载有效载荷

  • bypass ETW


议题解读:Operation Bypass Catch My Payload If You Can


最后给出了总结,即了解是如何触发了警报、检测,了解整体的执行链来进行bypass


然后给出了两个常见的常见即EDR、SIEMS:


  1. excel派生cmd进程

  2. 进程注入

  3. temp有二进制文件执行

  4. 陌生时间有网络连接活动


议题解读:Operation Bypass Catch My Payload If You Can



下面作者给出了一个常见,也是我们常用的攻击手法, Cobalt Strike使用powershell上线,然后执行whoami,进程链如下


议题解读:Operation Bypass Catch My Payload If You Can



此时则已经触发了警报(我不知道这是什么EDR,不过看起来很完善有Attack框架的支持)


议题解读:Operation Bypass Catch My Payload If You Can


议题解读:Operation Bypass Catch My Payload If You Can


此时已经表明了powershell已经执行了很多的恶意操作,而我们应该避免使用powershell使用C#替代将会是一个不错的选择,且方便混淆。并给出了OPSEC的方案


  • 混淆不能代替加密

  • 避免字符串等太长的静态资源

  • 学习yara规则

  • 使用小众语言增加一层混淆


下面就到了作者介绍工具的时间,也就是介绍稻草人。。。


议题解读:Operation Bypass Catch My Payload If You Can



议题解读:Operation Bypass Catch My Payload If You Can


然后介绍了现代EDR已经开始检测此类攻击,以及如何检测,主要是某些dll的使用


议题解读:Operation Bypass Catch My Payload If You Can


下面自然是一些使用ScareCrow的技巧(毕竟在介绍自己的工具)


1、证书相关,因为ScareCrow可以从伪造证书,域名选择应是EDR白名单中的域名。

2、推荐使用com和宏对象


后面是对IOC的介绍


议题解读:Operation Bypass Catch My Payload If You Can


议题解读:Operation Bypass Catch My Payload If You Can


然后又是介绍工具,SourcePoint,生成Cobalt Strike profile 的工具。



总结


议题为针对EDR等的绕过总结,并发布了一些相关工具,ScareCrow这个工具本人也一直在使用,不过被检测的比较严重,需要自己做一些操作,可以参考使用ScareCrow绕过杀软 然后就是syscall的通病了,兼容性差。比较好的是SourcePoint这个工具,因为很多人在编写Cobalt Strike profile时,不会去关注Stage、Process-Inject、Post-Exec部分导致有些操作直接被拦截,该工具则弥补了相关缺陷。







     ▼
更多精彩推荐,请关注我们


请严格遵守网络安全法相关条例!此分享主要用于学习,切勿走上违法犯罪的不归路,一切后果自付!


议题解读:Operation Bypass Catch My Payload If You Can





本文始发于微信公众号(鸿鹄实验室):议题解读:Operation Bypass Catch My Payload If You Can

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: