DLL injection--LOLBIN

国外安全研究员发现了2个具有微软签名的二进制文件可以进行 DLL 注入。

分别为：

inject_dll_amd64.exe

inject_dll_x86.exe

文件位于：

 C:\Program Files(x86)\Microsoft Visual Studio\2019\Community\Common7\IDE\Extensions\Microsoft\Python\Core\debugpy\_vendored\pydevd\pydevd_attach_to_process

github：

https://github.com/mrd0x/dll_inject_vs_binaries

使用方法：

inject_dll_amd64.exe pid c:\full\path\to\dll\mod.dll

使用环境：

可以用来绕过一些EDR和安全终端产品进行Dll注入

例如：

很明显我们的DLl注入了目标进程中

同时cobaltstrike也上线了

绕过Cylance注入进程

可以看到目标进程加载了我们的Dll

同时在coablststrike中可以上线

TIPS：

可以在投放木马时作为某个阶段就行投放，配合某些手法我们可以不用DLL落地。更多手法可以基于实战来利用。