项目介绍
监控父进程和子进程之间的关系是威胁检测团队检测恶意活动的常用技术,例如,如果powershell是子进程,而Microsoft Word是父进程,这是一种折中的行为,各种EDR可以很容易地检测到这种异常活动,这时红队可以考虑使用父进程PID欺骗作为逃避方法,Windows API调用"CreateProcess"允许用户传入一个用于分配父PID的参数,它可以用于指定当前进程的父进程。
项目地址
https://github.com/Al1ex/SelectMyParent
实践测试
Step 1:选择父进程并确定其PID
Step 2:之后执行以下命令进行父进程欺骗
SelectMyParent.exe notepad 928
Step 3:使用process Explor查看进程树,可以看到成功欺骗
Reference
https://pentestlab.blog/2020/02/24/parent-pid-spoofing/
https://ired.team/offensive-security/defense-evasion/parent-process-id-ppid-spoofing