0x01前言
使用这种技术,攻击者可以将恶意软件以难以扫描或删除的方式写入磁盘,然后在其中执行已删除的恶意软件,就好像它是磁盘上的常规文件一样。此技术不涉及代码注入。0x02进程
从windwos任务管理器中我们可以看到系统中运行的进程列表。这上面的每一个进程都和文件中的可执行文件相关联:“RuntimeBroker.exe”,windows重的进程是通过可执行文件进行启动进程,这些可执行文件通常为exe结尾。但是进程和可执行文件不是相同的,进程不是可执行文件,可执行文件也不是进程,从任务管理器中我们可以发现有多个Runtime Broker启动的进程。启动一个进程,需要通过一系列步骤,在windows中通常是由NtCreateUserProcess 在内核中执行,但是,Microsoft 为安全供应商提供了注册回调的能力,这些回调将在系统上创建进程时被调用。驱动开发者可以调用PsSetCreateProcessNotifyRoutineEx等 API来接收此类事件。各个组件 API(NtCreateProcessEx 等)仍然是公开的并且可以用于向后兼容。但是,EDR 对进程的实际检查不是在创建进程期间执行的,而是在插入线程时执行的。这会产生一个安全漏洞,红队可能会滥用该漏洞,以便在端点产品进行任何扫描之前篡改属于任意进程的可执行映像。启动进程的步骤:- 2. 为文件创建一个“图像”部分。节将文件或文件的一部分映射到内存中。映像节是一种特殊类型的节,对应于可移植可执行 (PE) 文件,只能从 PE(EXE、DLL 等)文件创建。
进程是从可执行文件启动的,但可执行文件中的一些数据在映射到进程时会被修改。为了解决这些修改,Windows 内存管理器会在创建图像部分时对其进行缓存。这表示图像部分可以偏离它们的可执行文件。0x03实现工具 这表示可以创建一个文件,将其标记为删除,将其映射到图像部分,关闭文件句柄以完成删除,然后从 now-fileless 部分创建一个进程。进程重影。过程为:
1、proc_ghost64
https://twitter.com/hasherezade将在用户具有写入权限的目录中创建一个临时文件。来自初始恶意软件的信息将被复制到临时文件中。创建进程后,该文件将自动从系统中删除。其中1.exe是无中生有的不需要实际的文件。可以看到进程出现在任务管理器中,但是没有任何名称,因为初始图像文件已从操作系统中删除。但是这款工具本体已经不免杀了。经测试windows defender已经报毒。与之类似的工具还有ProcessHerpaderping,此工具本身目前对于defender免杀 https://github.com/jxy-s/herpaderping2、KingHamlet
https://github.com/IkerSaint/KingHamlet 该工具包含两个主要功能:- 2. 实施流程重影 该工具使用源文件和用户指定的密钥在磁盘上写入一个加密的新文件。
加密文件将使用相同的密钥进行解密。还需要一个目标文件名,它用作将写入源文件的文件内容的图像,并将启动系统上的进程。KingHamlet.exe mimikatz.exe.khe key abcd.exe 其中abcd.exe是无中生有 不需要实际存在的文件加密后的mimikatz是可以免杀的 动态也肯定是没问题的。进程重影技术的两种实现都依赖于指示操作系统在文件关闭时删除文件。感兴趣可以进一步研究。团队内部平台:潮汐在线指纹识别平台 | 潮听漏洞情报平台 | 潮巡资产管理与威胁监测平台 | 潮汐网络空间资产测绘 | 潮声漏洞检测平台 | 在线免杀平台 | CTF练习平台 | 物联网固件检测平台 | SRC资产监控平台 | ......
星球分享方向:Web安全 | 红蓝对抗 | 移动安全 | 应急响应 | 工控安全 | 物联网安全 | 密码学 | 人工智能 | ctf 等方面的沟通及分享
星球知识wiki:红蓝对抗 | 漏洞武器库 | 远控免杀 | 移动安全 | 物联网安全 | 代码审计 | CTF | 工控安全 | 应急响应 | 人工智能 | 密码学 | CobaltStrike | 安全测试用例 | ......
星球网盘资料:安全法律法规 | 安全认证资料 | 代码审计 | 渗透安全工具 | 工控安全工具 | 移动安全工具 | 物联网安全 | 其它安全文库合辑 | ......
文章来源: http://mp.weixin.qq.com/s?__biz=Mzg2NTA4OTI5NA==&mid=2247505182&idx=1&sn=7726524c4e7b23825a6159a7c3e1462b&chksm=ce5df77ff92a7e699c777eb7c555d41f6dfd434088ea99607680eb08c78c2bc9948e53d53cee#rd
如有侵权请联系:admin#unsafe.sh