深入探究 EDR 绕过策略

在不断发展的网络安全格局中，端点检测和响应 (EDR) 解决方案是抵御复杂威胁的关键防御手段。然而，攻击者不断改进策略以绕过这些保护措施并进行未被发现的恶意活动。在这篇博文中，我们探讨了威胁行为者用来绕过 EDR 解决方案并破坏目标系统的四种高级规避技术。

1. 间接系统调用

间接系统调用是攻击者用来逃避监控系统调用的 EDR 解决方案检测的一种技术。攻击者不直接调用系统调用，而是利用动态链接和间接函数调用来执行恶意代码。通过混淆系统调用调用过程，攻击者可以逃避检测并在目标系统上执行未经授权的操作而不会触发警报。

2. 长睡眠和抖动技术

长时间休眠和抖动技术涉及在恶意代码执行中引入延迟和随机间隔，以逃避依赖基于行为的检测机制的 EDR 解决方案。通过增加长时间休眠和随机化执行时间，攻击者可以破坏 EDR 解决方案观察到的典型模式，使识别和标记恶意行为变得困难。这种技术使攻击者能够悄悄执行恶意负载而不会引起怀疑。

3.利用硬件断点

硬件断点是一种硬件辅助调试功能，允许开发人员在程序执行期间监控内存访问和执行流程。但是，攻击者可以利用这些功能来逃避监控内存和代码执行的 EDR 解决方案。通过在关键代码路径中策略性地放置硬件断点，攻击者可以逃避检测并操纵程序执行，而不会触发 EDR 解决方案的警报或警告。

4. 将 Shellcode 注入 werfault.exe

Werfault.exe 是一个合法的 Windows 进程，负责处理 Windows 错误报告。攻击者通过将恶意 shellcode 注入 werfault.exe 的内存空间来利用此进程。由于 werfault.exe 是一个受信任的系统进程，因此这种技术使攻击者能够以合法系统操作的名义执行其有效负载，从而有效地绕过依赖进程监控和行为分析的 EDR 解决方案的检测。

演示

1.设置你的红队基础设施：

• 建立强大的红队基础设施是进行有效对抗模拟的基础步骤。这涉及设置模拟目标网络和系统的受控环境。红队基础设施通常包括专用服务器、虚拟机、网络组件和支持工具，例如命令和控制 (C2) 框架、渗透测试平台和流量分析工具。确保基础设施的可靠性、可扩展性和安全性对于进行逼真且有影响力的红队演习至关重要。

2.利用上述功能创建自定义有效负载：

在红队基础设施到位后，下一步是开发针对特定目标的自定义有效载荷。利用高级规避技术（例如间接系统调用、长休眠和抖动）、利用硬件断点以及将 shellcode 注入受信任的进程（例如 werfault.exe）可增强有效载荷的隐蔽性和有效性。这涉及使用 C、C++ 或汇编语言等编程语言制作有效载荷，并集成规避技术以逃避防御性安全控制的检测，包括 EDR 解决方案、防病毒软件和入侵检测系统 (IDS)。

3.执行有效负载&&您将收到反向连接：

创建自定义有效负载后，它将部署在红队基础设施中并针对目标环境执行。有效负载通常通过各种攻击媒介传递，例如网络钓鱼电子邮件、恶意网站或受感染的端点。成功执行后，有效负载将建立与红队基础设施的反向连接，提供对受感染系统的远程访问和控制。这种反向连接是进一步利用、横向移动和泄露敏感数据的立足点，使红队能够模拟现实世界中的对手战术和技术。

4.您可以看到EDR运行的进程如下：