欺骗调用堆栈以混淆 EDR

已于 2024-12-23 17:10:18 修改
阅读量1k 收藏 12
点赞数 15
分类专栏: 网络安全这些事 文章标签: 驱动开发 机器学习 网络安全
于 2024-08-28 11:03:12 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_51524329/article/details/141635567
版权

调用堆栈是 EDR 产品中一个不被重视但往往非常重要的遥测来源。它们可以为事件提供重要背景信息,并且是区分误报和真报的极其强大的工具(尤其是对于凭证盗窃事件,例如句柄访问 lsass)。

例如,攻击者通常通过注入代码驻留在内存中。这种未备份或浮动的内存将在进行 API 调用时显示在调用堆栈中,并且显得非常异常。

已经有一些关于欺骗调用堆栈的公开研究(最著名的是 https://github.com/mgeeky/ThreadStackSpoofer 和 https://github.com/Cracked5pider/Ekko),但这些研究似乎主要集中于隐藏睡眠线程的调用堆栈以免受 AV/EDR 检测(例如 Cobalt Strike 睡眠掩码)。

这与主动欺骗 EDR(或 ETW 提供程序)从内核驱动程序为特定 TTP 记录虚假调用堆栈形成对比,比如打开 lsass 的句柄以准备转储凭据。这篇博文将演示一种 PoC 技术,该技术将允许使用任意调用堆栈(即真正的调用堆栈欺骗器)调用 NtOpenProcess。

技术演练

Windows 内核提供了许多回调函数供 AV/EDR 驱动程序订阅&#

了解本专栏 订阅专栏 解锁全文 超级会员免费看
红蓝对抗之红队免杀开发实践
悦分享
08-04 2082
我们在这个加载程序中执行的beacon shellcode最终是一个需要在内存中执行的DLL。许多C2框架利用了Stephen Fewer的。解析加载DLL所需kernel32.dll WINAPI的地址(例如VirtualAlloc, LoadLibraryA等);将DLL及其相应的节写入内存中;建立DLL导入表,以便DLL可以调用ntdll.dll和kernel32.dll WINAPI;加载额外的库并解析其导入函数地址;调用DLL的入口点。...
恶意代码分析
aming小老弟
12-09 1449
著名防火墙公司Palo Alto Networks近日在官网公布了一个CVE-2024-3400的漏洞信息,该漏洞存在于部分PAN-OS系统的GlobalProtect功能中,在某些配置打开的情况下,攻击者可以对运行该系统的设备进行未授权RCE,并且拿到系统的root权限。A5.这一恶意代码会使用高层API函数连接到一个远程的FTP服务器,我们可以下载并建立一个本地FTP服务器,并将DNS请求重定向至这一服务器,以充分分析该恶意代码。所以,其一旦广泛传播开便极难彻底清除。然后启动lab20-2.exe。
函数调用堆栈地址欺骗
做一个快乐学习者
12-07 580
原始函数调用堆栈 欺骗后函数调用堆栈
堆栈欺骗和内存扫描绕过
白帽子安全笔记
02-10 964
在这之前,我们介绍了如何使用sleepmask轻松绕过yara规则从而绕过卡巴斯基一类的基于传统的内存扫描的AV(反病毒软件),但问题来了,除了这类检测手段之外,还有基于堆栈检测的EDR,特别是最近一两年这种检测技术逐渐形成。本文余老师给大家演示下堆栈欺骗和sleepmask它们的优势和存在的问题,我们将对EDR和AV采取不同的进攻策略。
推荐文章:深入探索LoudSunRun——一个创新的堆栈欺骗工具
gitblog_00008的博客
06-20 432
推荐文章:深入探索LoudSunRun——一个创新的堆栈欺骗工具 去发现同类优质开源项目:https://gitcode.com/ 在技术的浩瀚宇宙中,总有那么一些项目,它们以独特的创意和精湛的技艺,照亮了一片属于自己的天空。今天,我们有幸向您介绍这样一个项目——LoudSunRun,一个基于namazso、SilentMoonWalk与VulcanRaven等大神工作的堆栈欺骗神器,旨在通过合...
简单的栈回溯 & 简单的栈回溯欺骗 -- 简单分析
astrotycoon
11-11 1万+
原文地址在: http://hi.baidu.com/iceboy_/item/924f349e10c9fbcfb62531f7# 对于我这样的新手好长时间才看懂,本文就那篇文章中的程序来简单分析一下。程序如下: #include #include #include #pragma warning(disable: 4311 4312 4313) int fake_ebp
真实样本分析堆栈欺骗技术
博客地址 www.sec0nd.top
10-23 653
调用堆栈欺骗并不是一种新技术,但在过去几年中它变得越来越流行。调用堆栈EDR软件的遥测源,可用于确定进程是否执行了可疑操作(向类进程请求句柄、将可疑代码写入新分配的区域,等等)。该技术的目的是构建一个模拟合法调用堆栈的假调用堆栈,以隐藏可能被EDR或其他安全软件检测到的可疑活动。
安全术语扫盲
热门推荐
_南寻_的博客
02-09 1万+
行业术语扫盲 肉鸡 所谓“肉鸡”是一种很形象的比喻,比喻那些可以随意被我们控制的电脑,对方可以是WINDOWS系统,也可以是UNIX/LINUX系统,可以是普通的个人电脑,也可以是大型的服务器,我们可以像操作自己的电脑那样来操作它们,而不被对方发觉。 木马 木马就是表面上伪装成了正常的程序,但是当这些程序运行时,就会获取系统的整个控制权限。有很多黑客就是热衷于使用木马程序来控制别人的电脑,比如灰鸽子,黑洞,PcShare等等 远控 远程控制,是在网络上由一台电脑(主控端Remote/客户端)远距
剖析虚幻渲染体系(16)- 图形驱动的秘密
xuhss_com的博客
06-26 2370
目录* 16.1 本篇概述 + 16.1.1 本篇内容 + 16.1.2 设备驱动概述 + 16.1.3 图形驱动概述迄今为止,博主在博客中阐述的内容包含图形API、GPU、游戏引擎、Shader、渲染技术、性能优化等等技术范畴内容,但似乎还未涉及图形驱动的内幕。本篇将站在应用层开发者的视角,去阐述图形驱动的相关技术内幕(如果是驱动开发者,则博主不认为是目标读者),主要包含但不限于以下内容:要给“驱动”一词下一个准确的定义是一个挑战。从最基本的意义上讲,驱动程序是一个软件组件,它允许操作系统和设备相互通信。
堆栈欺骗技术
Shanfenglan's blog
02-14 177
核心思路就是不让edr发现函数是从shellcode中调用的,而是通过正常的堆栈调用的.
ThreadStackSpoofer 使用教程
gitblog_00826的博客
08-31 887
ThreadStackSpoofer 使用教程 ThreadStackSpooferThread Stack Spoofing - PoC for an advanced In-Memory evasion technique allowing to better hide injected shellcode's memory allocation from scanners and anal...
从rust堆看堆块伪造
若有战,召必回
12-01 2110
本文章详细分析了强网杯S8的chat_with_me这道题,从rust堆看堆块伪造,最后getshell各个函数功能的测试与分析题目是强网S8的chat_with_me这道题,看似是个菜单堆,但实际上的add看不出来像常规菜单堆的堆块变化。发现add后然后show时会泄露栈上的数据,所以很容易就得到了pie,heapbase,以及stack地址,这一步很容易发现。
ciscn_final_4(反调试+在栈上伪造堆chunk)
seaaseesa的博客
04-30 1269
ciscn_final_4 首先,检查一下程序的保护机制,没开PIE 沙箱禁用了execve,因此不能getshell,只能构造ROP来读取flag 然后,我们用IDA分析一下 Delete功能没有清空堆指针,存在UAF可以造成double free new功能可以自由控制大小 程序一开始,我们可以在栈里输入一些数据,因此,我们可以在栈里伪造一个chunk,然后利用fa...
从Elastic观察新兴威胁与对抗之调用堆栈检测
2401_84466325的博客
10-25 628
由近期以Elastic代表的终端检测与Cobalt Strike代表的C2武器的演变可以看到,目前终端对抗已越来越向底层发展,逐渐由粗粒度的行为链的检测与对抗发展成API层面的调用链检测与对抗。但基于调用链进行行为研判与告警的方案的实现前提是能够获取到真实的调用栈,如果调用栈经过伪造或替代了敏感API调用,则大大削减了数据来源的可靠性,最终的研判与告警效果也大打折扣。终端行为的监控与防护需要获取更为可靠的监控信息,做出更准确的判断以达成更好的防护效果。
如何使用ThreadStackSpoofer隐藏Shellcode的内存分配行为
HBohan的博客
11-28 690
关于ThreadStackSpoofer ThreadStackSpoofer是一种先进的内存规避技术,它可以帮助广大研究人员或红/蓝队人员更好地隐藏已注入的Shellcode的内存分配行为,以避免被扫描程序或分析工具所检测到。 ThreadStackSpoofer是线程堆栈欺骗技术的一个示例实现,旨在规避恶意软件分析、反病毒产品和EDR在检查的线程调用堆栈中查找Shellcode帧的引用。其思想是隐藏对线程调用堆栈上针对Shellcode的引用,从而伪装包含了恶意代码的内存分配行为。 在该工具的帮助下,可
汇编达人视频学习5(反调试之Fake(欺骗) F8)
太阳照耀我走四方
08-04 241
title: 汇编达人视频学习5 date: 2021年8月4日 10点10分 tags: 汇编达人 categories: 汇编达人 反调试之Fake(伪装、欺骗)F8 1、单步步入(F7) 单步步过(F8) (1)单步步入与单步步过的区别 在执行普通的指令的时候,F7与F8其实差不多,但是在执行CALL指令的时候,有很大的差别。 在执行CALL指令的时候,先把CALL指令后面的那个地址,存入EIP中,然后把CALL指令的下一行指令的地址送入堆栈中,然后ESP的值减4. 如果我们在CALL指令后面的那.
伪造返回地址绕过CallStack检测以及检测伪造返回地址的实践笔记
01-18 5520
Author:[CISRG]KiSSinGGerE-mail:kissingger@gmail.comMSN:kyller_clemens@hotmail.com题目有点搞......Anti-CallStack Check and Anti-Anti-CallStack Check...(;- -)发现最近MJ0011的“基于CallStack的Anti-Rootkit HOOK检测思路”和gy
【Linux】Petalinux驱动开发基础
最新发布
Tesseract_9527的博客
05-03 766
在SD卡的BOOT分区,放入文件。用BOOT.BIN,boot.scr,system.bit,zImage,system.dtb五个文件代替普通Petalinux开发的BOOT.BIN,boot.scr和image.ub三个文件的方案:
C++ 实现高效函数调用堆栈追踪
"C++高效获取函数调用堆栈的实现代码" 在C++编程中,获取函数调用堆栈是调试和问题排查的重要工具。传统的做法通常依赖于如...通过理解调用堆栈和异常处理机制,开发者可以自行实现这样的工具,以满足特定需求。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值