议题解读：Operation Bypass Catch My Payload If You Can

前言：

本次简单解读的议题为：Operation Bypass Catch My Payload If You Can

pdf下载地址：

https://github.com/Tylous/Slides/blob/main/Operation%20Bypass%20Catch%20My%20Payload%20If%20You%20Can.pdf

视频回放地址：

https://www.youtube.com/watch?v=JXKNdWUs77w

正文

文章就白话文一些了，少扯犊子，多聊技术。首先议题的作者是免杀工具稻草人(https://github.com/optiv/ScareCrow)的作者，然后这次作为议题配套工具

发布了SourcePoint(https://github.com/Tylous/SourcePoint)，对技术不感兴趣的小伙伴看到这里就够了，去使用工具就可以了。下面会是议题的简单讨论。

首先作者提出了最近EDR/P的常见保护措施：

• 用户层HOOK
• 内核回调
• ETW事件检测
• AI机器学习

然后作者给出了常见的绕过方法：

• 进程注入：这里有很多了就Process Hollowing、APC Queue等等，有兴趣的可以看https://i.blackhat.com/USA-19/Thursday/us-19-Kotler-Process-Injection-Techniques-Gotta-Catch-Them-All.pdf
• Undocumented API calls for Execution：可以理解为一些不常见的API调用执行，比如之前的各类回调加载shellcode，可以康康：https://github.com/S4R1N/AlternativeShellcodeExec
• BlockDLLs：保护自己的进程不被注入，xpn写过相关文章：https://blog.xpnsec.com/protecting-your-malware/
• Custom Syscalls：这个就不多说了，大火的syscall

然后作者又给出来了用来防御上面这些技巧的防御手法：

• 代码签名
• 白名单控制
• XDR

然后就是绕过手法了

• 对抗像CrowdStrike或Sentinel One这样的产品时，避免使用blockdlls
• 利用本机允许的进程来加载有效载荷
• bypass ETW

最后给出了总结，即了解是如何触发了警报、检测，了解整体的执行链来进行bypass。

然后给出了两个常见的常见即EDR、SIEMS：

1. excel派生cmd进程
2. 进程注入
3. temp有二进制文件执行
4. 陌生时间有网络连接活动

下面作者给出了一个常见，也是我们常用的攻击手法， Cobalt Strike使用powershell上线，然后执行whoami，进程链如下

此时则已经触发了警报（我不知道这是什么EDR，不过看起来很完善有Attack框架的支持）

此时已经表明了powershell已经执行了很多的恶意操作，而我们应该避免使用powershell使用C#替代将会是一个不错的选择，且方便混淆。并给出了OPSEC的方案

• 混淆不能代替加密
• 避免字符串等太长的静态资源
• 学习yara规则
• 使用小众语言增加一层混淆

下面就到了作者介绍工具的时间，也就是介绍稻草人。。。

然后介绍了现代EDR已经开始检测此类攻击，以及如何检测，主要是某些dll的使用

下面自然是一些使用ScareCrow的技巧（毕竟在介绍自己的工具）

1、证书相关，因为ScareCrow可以从伪造证书，域名选择应是EDR白名单中的域名。

2、推荐使用com和宏对象

后面是对IOC的介绍

然后又是介绍工具，SourcePoint，生成Cobalt Strike profile 的工具。

总结

议题为针对EDR等的绕过总结，并发布了一些相关工具，ScareCrow这个工具本人也一直在使用，不过被检测的比较严重，需要自己做一些操作，可以参考使用ScareCrow绕过杀软 然后就是syscall的通病了，兼容性差。比较好的是SourcePoint这个工具，因为很多人在编写Cobalt Strike profile时，不会去关注Stage、Process-Inject、Post-Exec部分导致有些操作直接被拦截，该工具则弥补了相关缺陷。