阻止EDR注入dll

最新推荐文章于 2024-05-11 15:17:09 发布
最新推荐文章于 2024-05-11 15:17:09 发布
阅读量803 收藏 30
点赞数 27
分类专栏: # 渗透测试 文章标签: windows 安全 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_63701832/article/details/137361063
版权

文章目录

前记

许多EDR产品常见的操作是将他们的DLL注入到其想监测的进程中,寻找前辈们的防注入思路发现大概有以下两种,分别是:

1、PROCESS_CREATION_MITIGATION_POLICY_BLOCK_NON_MICROSOFT_BINARIES_ALWAYS_ON会阻止不带微软签名的DLL加载

2、ProcessDynamicCodePolicy禁用了VirtualProtect和分配RWX内存可能会强制阻止一个带微软签名的DLL加载

于是分别测试实战效果(这里仅以普通dll注入,即远程LoadLibrary加载而非创建远程线程)

blockdlls

#include <Windows.h>

int main()
{
	STARTUPINFOEXA si = {0};
	PROCESS_INFORMATION pi = { 0 };
	SIZE_T size = 0;
	BOOL ret;

	// Required for a STARTUPINFOEXA
	si.StartupInfo.cb = sizeof(STARTUPINFOEXA);

	// Get the size of our PROC_THREAD_ATTRIBUTE_LIST to be allocated
	InitializeProcThreadAttributeList(NULL, 1, 0, &size);

	// Allocate memory for PROC_THREAD_ATTRIBUTE_LIST
	si.lpAttributeList = (LPPROC_THREAD_ATTRIBUTE_LIST)HeapAlloc(
		GetProcessHeap(),
		HEAP_ZERO_MEMORY,
		size
	);

	// Initialise our list 
	InitializeProcThreadAttributeList(si.lpAttributeList, 1, 0, &size);

	// Enable blocking of non-Microsoft signed DLLs
	DWORD64 policy = PROCESS_CREATION_MITIGATION_POLICY_BLOCK_NON_MICROSOFT_BINARIES_ALWAYS_ON;

	// Assign our attribute
	UpdateProcThreadAttribute(si.lpAttributeList, 0, PROC_THREAD_ATTRIBUTE_MITIGATION_POLICY, &policy, sizeof(policy), NULL, NULL);

	// Finally, create the process
	ret = CreateProcessA(
		NULL,
		(LPSTR)"C:\\Windows\\System32\\notepad.exe",
		NULL,
		NULL,
		true,
		EXTENDED_STARTUPINFO_PRESENT,
		NULL,
		NULL,
		reinterpret_cast<LPSTARTUPINFOA>(&si),
		&pi
	);
}

这里通过UpdateProcThreadAttribute 添加lpAttributeList中PROC_THREAD_ATTRIBUTE_MITIGATION_POLICY属性为PROCESS_CREATION_MITIGATION_POLICY_BLOCK_NON_MICROSOFT_BINARIES_ALWAYS_ON,然后创建的进程如图:Only Microsoft signatures are allowed.

有用但是用处不大,因为发现大多数EDR使用有效的Microsoft签名来对抗该策略在这里插入图片描述

ACG

ProcessDynamicCodePolicy is also sometimes called Arbitrary Code Guard (ACG)

ACG是Windows系统的另一个安全策略,具体如下

1、现有代码被修改(代码页不能变为可写);
2、在数据段上写入代码并执行(数据不能变为代码)。
即不能申请和修改同时具有写入(W)和执行(X)的权限

#include <iostream>
#include <Windows.h>
#include <processthreadsapi.h>

int main()
{
	STARTUPINFOEX si;
	DWORD oldProtection;

	PROCESS_MITIGATION_DYNAMIC_CODE_POLICY policy;
	ZeroMemory(&policy, sizeof(policy));
	policy.ProhibitDynamicCode = 1;

	void* mem = VirtualAlloc(0, 1024, MEM_RESERVE | MEM_COMMIT, PAGE_EXECUTE_READWRITE);
	if (mem == NULL) {
		printf("[!] Error allocating RWX memory\n");
	}
	else {
		printf("[*] RWX memory allocated: %p\n", mem);
	}

	printf("[*] Now running SetProcessMitigationPolicy to apply PROCESS_MITIGATION_DYNAMIC_CODE_POLICY\n");

	// Set our mitigation policy
	if (SetProcessMitigationPolicy(ProcessDynamicCodePolicy, &policy, sizeof(policy)) == false) {
		printf("[!] SetProcessMitigationPolicy failed\n");
		return 0;
	}

	// Attempt to allocate RWX protected memory (this will fail)
	mem = VirtualAlloc(0, 1024, MEM_RESERVE | MEM_COMMIT, PAGE_EXECUTE_READWRITE);
	if (mem == NULL) {
		printf("[!] Error allocating RWX memory\n");
	}
	else {
		printf("[*] RWX memory allocated: %p\n", mem);
	}

	void* ntAllocateVirtualMemory = GetProcAddress(LoadLibraryA("ntdll.dll"), "NtAllocateVirtualMemory");

	// Let's also try a VirtualProtect to see if we can update an existing page to RWX
	if (!VirtualProtect(ntAllocateVirtualMemory, 4096, PAGE_EXECUTE_READWRITE, &oldProtection)) {
		printf("[!] Error updating NtAllocateVirtualMemory [%p] memory to RWX\n", ntAllocateVirtualMemory);
	}
	else {
		printf("[*] NtAllocateVirtualMemory [%p] memory updated to RWX\n", ntAllocateVirtualMemory);
	}
    system("pause");
}

[*] RWX memory allocated: 0000018B24D70000
[*] Now running SetProcessMitigationPolicy to apply PROCESS_MITIGATION_DYNAMIC_CODE_POLICY
[!] Error allocating RWX memory
[!] Error updating NtAllocateVirtualMemory [00007FFA9248F660] memory to RWX

尝试本地注入失败,但是远程dll注入和远程创建新线程均可以成功,正如下面所言

But actually, ACG doesn’t block a remote processes ability to call a function such as VirtualAllocEx.Unfortunately there doesn’t appear to be a way to set the Process Mitigation policy when calling CreateProcess either

看到有研究者写到:

许多EDR产品常见的操作是将他们的DLL注入到其想监测的进程中,围绕特定的API函数实现用户态hook技术(参考文章)。由于hook技术通常需要修改现有的可执行内存页以添加hook,因此EDR通常需要调用VirtualProtect来更新内存保护。如果我们在恶意软件设计上启用ProcessDynamicCodePolicy可能有助于保护其免受EDR hook监测的影响

然而并不现实,EDR通常在我们的进程刚启动的时候就已经完成注入和内存修改并进行hook,而我们后续的属性设定操作是在edr的dll注入之后才完成的,并且我们没法在创建之前就设定该属性

结论

签名策略和ACG不太可能帮助防止反病毒供应商的DLL注入,而考虑采取以下措施:

  • Reload the hooked DLL’s from disk
  • Modify the injected DLL’s to make sure they don’t take action
  • Attempt direct system calls to bypass the hooks

测试代码

a.dll

#include<windows.h>
#include "pch.h"
int a=10;
BOOL APIENTRY DllMain(HMODULE hModule,
    DWORD  ul_reason_for_call,
    LPVOID lpReserved
    )
{
    switch (ul_reason_for_call)
    {
    case DLL_PROCESS_ATTACH:
    case DLL_THREAD_ATTACH:
    case DLL_THREAD_DETACH:
    case DLL_PROCESS_DETACH:
        break;
    }
    return TRUE;
}

inject.exe

#include <windows.h>
#include <stdio.h>
#include <TlHelp32.h>
typedef FARPROC
(WINAPI
	* pGetProcAddress)(
		_In_ HMODULE hModule,
		_In_ LPCSTR lpProcName
		);
typedef HMODULE
(WINAPI
	* pLoadLibraryA)(
		_In_ LPCSTR lpLibFileName
		);

BOOL mydllinject(DWORD pid, LPCTSTR szDllPath);
int main(int argc, char* argv[])
{
	DWORD pid = (DWORD)atoi(argv[1]);
	printf("%d", pid);
	mydllinject(pid, L"a.dll");
	system("pause");
	return 0;
}

BOOL mydllinject(DWORD pid, LPCTSTR szDllPath)
{
	HMODULE hMod = GetModuleHandle(L"kernel32.dll");
	pGetProcAddress pThreadProc = (pGetProcAddress)GetProcAddress(hMod, "LoadLibraryW");
	HANDLE hProcess = OpenProcess(PROCESS_ALL_ACCESS, FALSE, pid);
	if (hProcess == NULL)
	{
		return FALSE;
	}
	DWORD size = (DWORD)(wcslen(szDllPath) + 1) * sizeof(TCHAR);
	LPVOID conAddr = VirtualAllocEx(hProcess, NULL, size, MEM_COMMIT, PAGE_READWRITE);
	if (conAddr == NULL)
	{
		return FALSE;
	}
	printf("add:%x", conAddr);
	int writecon = WriteProcessMemory(hProcess, conAddr, (LPCVOID)szDllPath, size, NULL);
	if (writecon == 0)
	{
		printf("WriteProcessMemory:%d\n", GetLastError());
	}

	HANDLE thred = CreateRemoteThread(hProcess, NULL, 0, (LPTHREAD_START_ROUTINE)pThreadProc, conAddr, 0, NULL);
	if (thred == NULL)
	{
		printf("CreateRemoteThread:%d\n", GetLastError());
	}
	WaitForSingleObject(thred, INFINITE);
}

reference

https://www.cnblogs.com/zha0gongz1/p/15391205.html
https://blog.xpnsec.com/protecting-your-malware/
coleak
关注
  • 27
    点赞
  • 30
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
EDR查杀原理曝光及免杀绕过
摔不死的笨鸟的博客
09-22 904
为了保护系统的安全和稳定性,从Windows 64位起,Windows机器有两种不同的运行模式:用户模式和内核模式,用户模式即我们平时使用各种应用程序时所处的交互模式,应用可以访问CPU和内存等资源,维持自身的正常运转。Meterpreter绕过了磁盘上基于签名的检测和使用系统调用的Shellcode检测,但在运行不到一分钟后又被报毒,这是一个基于行为的检测,由额外的DLL文件触发,通过普通 Win32 API 和反射 DLL 注入技术加载。从我目前的知识和观点来看,对此问题的非常简单的回答是——不!
卡巴斯基EDR资料
01-10
卡巴斯基EDR资料#学习资源
EDR介绍
m0_37740029的博客
05-27 1万+
什么是EDR 一、端点检测与响应 端点:台式机、服务器、移动设备和嵌人式设备等。攻击者往往首先利用目标网络中的脆弱端点建立桥头堡,再通过进一步的漏洞利用来构筑长期驻留条件,最终迈向既定目标。 端点检测与响应((Endpoint Detection and Response,EDR):完全不同于以往的端点被动防护思路,而是通过云端威胁情报、机器学习、异常行为分析、攻击指示器等方式,主动发现来自外部或内部的安全威胁,并进行自动化的阻止、取证、补救和溯源,从而有效对端点进行防护。 举例:360天擎终端检测与响应系
什么是EDR
热门推荐
qq_38384924的博客
11-17 9万+
一、端点检测与响应 端点:台式机、服务器、移动设备和嵌人式设备等。攻击者往往首先利用目标网络中的脆弱端点建立桥头堡,再通过进一步的漏洞利用来构筑长期驻留条件,最终迈向既定目标。 端点检测与响应((Endpoint Detection and Response,EDR):完全不同于以往的端点被动防护思路,而是通过云端威胁情报、机器学习、异常行为分析、攻击指示器等方式,主动发现来自外部或内部的安全威胁...
浅谈EDR绕过
hongduilanjun的博客
09-14 1501
我们知道一般EDR对可疑程序进行监控一般都会采用往程序里注入到检测的进程中,通过hook一些敏感的3环API来判断程序是否进行一些恶意操作,那么我们可以通过添加流程缓解措施和漏洞利用保护参考来实现保护,从而防止EDRdll注入对进程进行检测。
一文读懂远程线程注入
合天网安学院
02-22 784
原创稿件征集邮箱:[email protected]:1272460312黑客与极客相关,互联网安全领域里的热点话题漏洞、技术相关的调查或分析稿件通过并发布还能收获200-800元不等的...
在VBA中使用DLL改善宏的攻击功能
weixin_34273046的博客
09-18 198
本文讲的是在VBA中使用DLL改善宏的攻击功能, 最近对在VBA中使用DLL的大量研究主要集中在如何将shellcode注入到当前运行的进程这一部分,本文就是基于这些研究,向大家展示在VBA中使用DLL改善宏的攻击功能。 大致的改善过程分以下2个阶段: 1.使用已经存在于磁盘上的DLL,执行regsvr32命令, 2.使用已经存在于磁盘上的DLL, 模...
如何利用blockdlls和ACG保护你的恶意软件
NOSEC2019的博客
11-05 1033
在Cobalt Strike的近期更新中,加入了blockdlls命令,它可在攻击者派生子进程时阻止第三方DLL的加载。这就使安全产品在进程创建时无法通过DLL加载进行监控和可疑情况上报。 在进行过几次内部原理的讨论后,我觉得有必要写一篇文章展示其用法和背后的原理,如何用它来保护我们的恶意软件,阻止安全软件的监控。 blockdlls blockdlls是在Cobalt Strike的3.14版...
虹科分享|如何解决勒索软件安全漏洞
虹科网络安全的博客
07-22 611
近年来,各种网络攻击的数量和频率都在增加,每分钟都会发生数次勒索软件的攻击入侵。如何解决勒索软件安全漏洞?答案是使用移动目标防御(MTD)技术。MTD技术利用多态性,以不可预测的方式向对手隐藏应用程序和操作系统目标。欢迎阅读,了解更多。......
测试渗透前置知识-行业术语
TianYao
02-10 3788
测试渗透前置知识-行业术语1.肉鸡3.远控4.黑页5.挂马6.大马7.小马8.一句话后门9.后门10.拖库11.社工库12.撞库13.提权14.网络钓鱼15.社会工程学攻击16.rootkit17.IPC$18.弱口令19.默认共享20.shell21.交互式shell22.webshell23.溢出24.注入25.注入点26.旁站入侵27.C段渗透28.内网:29.外网30.中间人攻击31.端口32.免杀33.加壳34.花指令35.TCP/IP36.蜜罐37.拒绝服务攻击38.CC攻击39.脚本注入攻击(
qsc_EDr_
09-30
EDR QSC file to combine all available driver
EDR理论.docx认证
04-15
EDR理论.docx 自己总结
如何绕过EDR挂钩检测 杀软EDR对抗-脱钩
10-31
如何绕过EDR挂钩检测 杀软EDR对抗-脱钩
蓝牙EDR射频测试.pdf
09-10
根据BLUETOOTH SPECIFICATION Version 2.1 + EDR的标准,蓝牙产品的射频测试总共有25项测试。上一期中我们介绍了蓝牙产品的功控测试(power control),在这一期里我们继续介绍关于蓝牙的发射机输出频谱测试-频率范围...
Java的stream流使用
最新发布
m0_74295055的博客
05-11 100
Stream(流)是一个来自数据源的元素队列并支持聚合操作− 为集合创建串行流。− 为集合创建并行流。
List/ConcurrentBag Contains的效率比Dictionary/ConcurrentDictionary ContainsKey 低几千倍
xhydongda的博客
05-11 105
50000个字符串集合包含判断,Dictionary/ConcurrentDictionary 只需1-2毫秒,List 需要3秒,ConcurrentBag需要 23秒!
较难题 链表的回文结构
FZ51111的博客
05-06 292
单链表的缺陷就是不能访问上一个节点,因此直接逆置后半段,来模拟倒着访问节点。
H3C DHCP快速配置指南
更多内容查看博客描述。
05-11 157
所示,公司将交换机做为核心交换机,现在需要在核心交换机上划分3个VLAN网段,HostA、Host B和Host C分别属于VLAN 5、VLAN 6和VLAN 7,要求在交换机上配置DHCP服务器功能,分别给主机分配不同网段的IP地址。由于DHCP客户端和DHCP服务器不在同一网段,因此,需要在客户端所在网段设置DHCP中继设备,以便客户端可以从DHCP服务器申请到10.10.1.0/24网段的IP地址及相关配置信息;# 配置被管理地址的配置标志位为1,即主机通过DHCPv6服务器获取IPv6地址。
linux edr重启
08-27
要在Linux中重新启动EDR(威胁检测和响应)服务,你可以执行以下步骤: 1. 打开终端或登录到服务器的命令行界面。 2. 确保你具有管理员权限(如root用户或通过sudo命令)。 3. 输入以下命令重启EDR服务: ```shell systemctl restart edr-service ``` 如果你的系统不使用systemd init系统,可能需要使用其他命令,如`service`或`/etc/init.d/`目录中的脚本。 4. 等待一段时间,直到EDR服务重新启动完成。 5. 检查服务状态以确保EDR已成功重新启动: ```shell systemctl status edr-service ``` 或使用适用于你的系统的相应命令。 请注意,具体命令可能因所用的EDR解决方案而有所不同。以上命令仅适用于通用情况,你可能需要根据你的环境和EDR软件进行适当调整。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

coleak

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值