国外安全研究员发现了2个具有微软签名的二进制文件可以进行 DLL 注入。
分别为:
inject_dll_amd64.exe
inject_dll_x86.exe
文件位于:
C:\Program Files(x86)\Microsoft Visual Studio\2019\Community\Common7\IDE\Extensions\Microsoft\Python\Core\debugpy\_vendored\pydevd\pydevd_attach_to_process
github:
https://github.com/mrd0x/dll_inject_vs_binaries
使用方法:
inject_dll_amd64.exe pid c:\full\path\to\dll\mod.dll
使用环境:
可以用来绕过一些EDR和安全终端产品进行Dll注入
例如:
很明显我们的DLl注入了目标进程中
同时cobaltstrike也上线了
绕过Cylance注入进程
可以看到目标进程加载了我们的Dll
同时在coablststrike中可以上线
TIPS:
可以在投放木马时作为某个阶段就行投放,配合某些手法我们可以不用DLL落地。更多手法可以基于实战来利用。