在基本的远程进程注入中,EDR会监视这经典的三个迹象:给进程分配新的内存:VirtualAllocEx修改此进程的内存:WriteProcessMemory、VirtualProtectEx执行:Cr...
新型进程注入技术: 仅使用 CONTEXT 的无痕攻击面
New Process Injection Class The CONTEXT-Only Attack Surface作者:Yehuda Smirnov, Hoshea Yarden, Hai Vak...
以网易云音乐为例,教你用Dependencies+VS快速生成恶意DLL,通过进程注入触发计算器弹窗!(x64与x86通杀技巧)
dll劫持——白加黑x64和x86通杀教程★这期方法还是基于上面这篇文章为主,个人也是踩了很多坑才搞定(篇幅有限原文我已经和工具放在一起了,公众号后台回复“白加黑”获取)寻找白文件1.打开网易云音乐的...
新的进程注入类:仅上下文攻击面
TL;DR大多数进程注入技术都遵循一个熟悉的模式:分配→写入→执行。在这项研究中,我们问:如果我们完全跳过分配和写入会怎样?通过关注仅执行原语,我们发现了无需分配/写入内存即可注入代码的不同方法:仅 ...
线程劫持
等待线程劫持技术是一种隐秘的进程注入方法,它会劫持目标进程中的等待线程来执行 Shellcode。它通过操纵线程的返回地址来规避 SuspendThread 或 SetThreadContext 等常...
KernelCallbackTable 注入的冒险
最近,我发现了KernelCallbackTable一种可以被滥用来向远程进程注入shellcode的方法。FinFisher /FinSpy和Lazarus都使用过这种进程注入方法。这篇文章介绍了我...
Rust 中的等待线程劫持。特别感谢 @hasherezade 为了出色的 PoC
等待线程劫持技术是一种隐秘的进程注入方法,它会劫持目标进程中的等待线程来执行 Shellcode。它通过操纵线程的返回地址来规避 SuspendThread 或 SetThreadContext 等常...
通过数据指针进行控制流劫持
在执行进程注入时,构成行为特征的最重要的 IOC 之一就是将执行权交给我们的 Shellcode。虽然实现这一目标的技术有很多,而且这当然不是什么纯粹的“新”技术——但在这篇文章中,我不仅想展示一种“...
等待线程劫持:线程执行劫持的更隐蔽版本
【翻译】WAITING THREAD HIJACKING A STEALTHIER VERSION OF THREAD EXECUTION HIJACKING要点进程注入(Process Inject...
《入侵生命周期细分实践指南系列》:进程注入攻击
美创科技为了更好地进行入侵检测和防御,参照各种安全威胁框架和自身的实践与思考,提出了基于入侵生命周期的攻击管理模型,作为美创新一代安全架构的三大支柱之一。入侵生命周期v1.0把入侵过程划分为7个阶段:...
2024年TOP 10 MITRE ATT&CK攻击技术全景解析
MITRE ATT&CK 框架已成为全球网络安全防御的通用语言。塞讯安全实验室发现,2024 年攻击者更依赖“隐蔽性”和“自动化”技术,93%的攻击集中于十大核心手段。本文从技术原理、攻击案例...
浏览器如何阻止进程注入的 RWX 执行
How is my Browser blocking RWX execution在测试 payload 时,我偶然发现了一个流行浏览器实现的安全功能,它的行为类似于 EDR。通过钩取关键的 Windo...