专栏首页鸿鹄实验室议题解读:Operation Bypass Catch My Payload If You Can

议题解读:Operation Bypass Catch My Payload If You Can

前言:

本次简单解读的议题为:Operation Bypass Catch My Payload If You Can

pdf下载地址:

https://github.com/Tylous/Slides/blob/main/Operation%20Bypass%20Catch%20My%20Payload%20If%20You%20Can.pdf

视频回放地址:

https://www.youtube.com/watch?v=JXKNdWUs77w

正文

文章就白话文一些了,少扯犊子,多聊技术。首先议题的作者是免杀工具稻草人(https://github.com/optiv/ScareCrow)的作者,然后这次作为议题配套工具

发布了SourcePoint(https://github.com/Tylous/SourcePoint),对技术不感兴趣的小伙伴看到这里就够了,去使用工具就可以了。下面会是议题的简单讨论。

首先作者提出了最近EDR/P的常见保护措施:

  • 用户层HOOK
  • 内核回调
  • ETW事件检测
  • AI机器学习

然后作者给出了常见的绕过方法:

  • 进程注入:这里有很多了就Process Hollowing、APC Queue等等,有兴趣的可以看https://i.blackhat.com/USA-19/Thursday/us-19-Kotler-Process-Injection-Techniques-Gotta-Catch-Them-All.pdf
  • Undocumented API calls for Execution:可以理解为一些不常见的API调用执行,比如之前的各类回调加载shellcode,可以康康:https://github.com/S4R1N/AlternativeShellcodeExec
  • BlockDLLs:保护自己的进程不被注入,xpn写过相关文章:https://blog.xpnsec.com/protecting-your-malware/
  • Custom Syscalls:这个就不多说了,大火的syscall

然后作者又给出来了用来防御上面这些技巧的防御手法:

  • 代码签名
  • 白名单控制
  • XDR

然后就是绕过手法了

  • 对抗像CrowdStrike或Sentinel One这样的产品时,避免使用blockdlls
  • 利用本机允许的进程来加载有效载荷
  • bypass ETW

最后给出了总结,即了解是如何触发了警报、检测,了解整体的执行链来进行bypass。

然后给出了两个常见的常见即EDR、SIEMS:

  1. excel派生cmd进程
  2. 进程注入
  3. temp有二进制文件执行
  4. 陌生时间有网络连接活动

下面作者给出了一个常见,也是我们常用的攻击手法, Cobalt Strike使用powershell上线,然后执行whoami,进程链如下

此时则已经触发了警报(我不知道这是什么EDR,不过看起来很完善有Attack框架的支持)

此时已经表明了powershell已经执行了很多的恶意操作,而我们应该避免使用powershell使用C#替代将会是一个不错的选择,且方便混淆。并给出了OPSEC的方案

  • 混淆不能代替加密
  • 避免字符串等太长的静态资源
  • 学习yara规则
  • 使用小众语言增加一层混淆

下面就到了作者介绍工具的时间,也就是介绍稻草人。。。

然后介绍了现代EDR已经开始检测此类攻击,以及如何检测,主要是某些dll的使用

下面自然是一些使用ScareCrow的技巧(毕竟在介绍自己的工具)

1、证书相关,因为ScareCrow可以从伪造证书,域名选择应是EDR白名单中的域名。

2、推荐使用com和宏对象

后面是对IOC的介绍

然后又是介绍工具,SourcePoint,生成Cobalt Strike profile 的工具。

总结

议题为针对EDR等的绕过总结,并发布了一些相关工具,ScareCrow这个工具本人也一直在使用,不过被检测的比较严重,需要自己做一些操作,可以参考使用ScareCrow绕过杀软 然后就是syscall的通病了,兼容性差。比较好的是SourcePoint这个工具,因为很多人在编写Cobalt Strike profile时,不会去关注Stage、Process-Inject、Post-Exec部分导致有些操作直接被拦截,该工具则弥补了相关缺陷。

本文分享自微信公众号 - 鸿鹄实验室(gh_a2210090ba3f),作者:鸿鹄实验室a

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2021-08-09

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • ABAP和Java的tag(marker) interface

    In my previous blog How many fat interfaces are there in SAP system I introduce ...

    Jerry Wang
  • SAP ABAP ADBC和Java JDBC的使用比较

    Horst Keller has already introduced ADBC in his blog ABAP Geek 15 – ADBC long ti...

    Jerry Wang
  • TokyoWesterns CTF 6th 2020 部分WP

    一道典型的ssrf题目,思路也非常清晰,访问内网的admin_status路由即可获得flag,但这道题用remote_addr要求ip不能为127.0.0.1...

    Timeline Sec
  • flowchart.js徒手绘制流程图

    要画20个流程(时序)图,于是昨天捣鼓了到半夜,安装了plantUML + vscode,虽然丑了些,但勉强能看,目前已用plantUML完成了10个。...

    周星星9527
  • 一个初学者的SAP Cloud Platform学习笔记

    956我为什么没办法publish 到cloud 上去? 1004可能我有个工具没装。新Eclipse还是需要配proxy Possible hint: h...

    Jerry Wang
  • 如何使用MyJWT对JWT进行破解和漏洞测试

    MyJWT是一款功能强大的命令行工具,MyJWT专为渗透测试人员、CTF参赛人员和编程开发人员设计,可以帮助我们对JSON Web Token(JWT)进行修改...

    FB客服
  • CTF论剑场 Web1-13 WriteUp

    extract — 从数组中将变量导入到当前的符号表,trim — 去除字符串首尾处的空白字符(或者其他字符)。

    安恒网络空间安全讲武堂
  • 2018全国大学生软件测试大赛-安恒杯Web测试大赛write up

    这里的知识点是当代码中存在$_REQUEST['user_id']里面类似的参数的时候,使用" "、"["、"+"、"."这样的符号的时候回自动转化成"_"从而...

    安恒网络空间安全讲武堂
  • TCTF/0CTF2018 XSS Writeup

    刚刚4月过去的TCTF/0CTF2018一如既往的给了我们惊喜,其中最大的惊喜莫过于多道xss中Bypass CSP的题目,其中有很多应用于现代网站的防御思路。...

    Seebug漏洞平台
  • TCTF/0CTF2018 XSS Writeup

    刚刚4月过去的TCTF/0CTF2018一如既往的给了我们惊喜,其中最大的惊喜莫过于多道xss中Bypass CSP的题目,其中有很多应用于现代网站的防御思路。

    Seebug漏洞平台
  • F-Secure Internet Gatekeeper中的堆溢出漏洞分析

    在这篇文章中,我们将对F-Secure Internet Gatekeeper应用程序中的一个堆溢出漏洞进行解析,并介绍为何一个简单的错误就导致了一个可利用的未...

    FB客服
  • 30 多个有内味道且笑死的人代码注释

    代码注释,有些人说它太丑,也有些人说它是标准和良好的做法。在本文中, 列出了一些在编程中遇到的有趣的代码注释。

    前端小智@大迁世界
  • 【Microsoft Azure学习之旅】测试消息队列(Service Bus Queue)是否会丢消息

      组里最近遇到一个问题,微软的Azure Service Bus Queue是否可靠?是否会出现丢失消息的情况?

    宋凯伦
  • 令人笑喷的56个代码注释,最后几个老衲实在憋不住了。。。

    良月柒
  • Sniper-OJ 练习平台多题WriteUp

    题目 ### 图书管理系统(200) ### as fast as you can(50) ### md5-vs-injection(50) ### 2048...

    安恒网络空间安全讲武堂
  • 2019 ICPC 银川网络赛 H. Fight Against Monsters

    It is my great honour to introduce myself to you here. My name is Aloysius Benjy...

    风骨散人Chiam
  • 渗透测试的一些tips

    鸿鹄实验室
  • 怎样读文献(翻译)

    学习前沿的技术,经常要读文献,但对很多人来说读文献是一件非常头疼的事。在网上偶然看到 Charles Sutton写的一篇文章,里面提到的读文献的方法感觉很不错...

    三猫
  • SDWebImage源码阅读-第一篇

    王大锤

扫码关注云+社区

领取腾讯云代金券