探索 Freeze.rs:绕过EDR安全控制的新一代工具
项目介绍
请注意,此仓库已被归档,请前往新的GitHub地址 查看最新版本和提交问题。
Freeze.rs是一个创新的payload创建工具,旨在规避Endpoint Detection and Response(EDR)安全控件,并以隐蔽方式执行shellcode。这个框架通过独特的技术手段移除了Userland EDR挂钩,并巧妙地在监控系统中穿行。
项目技术分析
Freeze.rs的核心在于创建暂停状态的进程和利用Address Space Layout Randomization(ASLR)。当一个进程被创建并处于暂停状态时,Ntdll.dll是第一个加载的DLL,而其他EDR DLL尚未加载,因此syscalls保持未修改的状态。
此外,该工具有效利用了ASLR的特性来读取远程进程内存,即使目标过程受到地址随机化保护。由于系统DLL的基础地址在每次启动时都是固定的,Freeze.rs能从自身进程中获取这些信息,无需枚举已暂停的进程。
Freeze.rs还通过补丁技术干扰Event Tracing for Windows(ETW),防止ETW事件产生,从而进一步提高隐蔽性。
最后,它采用Rust语言实现,并结合NTAPI库,确保所有shellcode执行都在Ntdll.dll内,避开可能被挂钩的标准调用。
项目及技术应用场景
Freeze.rs适用于网络安全研究人员、渗透测试人员以及希望了解高级恶意软件行为的安全专业人员。其应用场景包括:
- 对抗EDR解决方案:帮助研究人员理解如何绕过常见的端点防护策略。
- 渗透测试:在安全测试环境中模拟复杂攻击,评估系统的防御能力。
- 安全研究:探索新型威胁技术,提升对现代恶意软件的理解。
项目特点
- 创新的暂停状态技术:利用暂停的进程去除EDR钩子,保证原始syscalls不受影响。
- 智能ASLR利用:无需枚举远程进程,即可精确找到并读取所需内存。
- ETW补丁:有效阻止ETW事件生成,增加隐形性。
- 多种加密选项:支持AES、ELZMA和RC4等多种加密算法,增强shellcode安全性。
- 灵活的payload生成:可生成EXE或DLL文件,甚至添加自定义导出函数。
总而言之,Freeze.rs为安全社区提供了一个独特且强大的工具,用于研究和对抗不断演变的EDR安全挑战。它的先进技术和隐藏策略使其成为任何安全专家值得探索的领域。如果你对此感兴趣,不妨直接访问新地址开始你的旅程!