ToB企服应用市场:ToB评测及商务社交产业平台

标题: 安全对抗相关技能和概念的总结和分析 [打印本页]

作者: 灌篮少年 时间: 昨天 06:38
标题: 安全对抗相关技能和概念的总结和分析
流量对抗与行为对抗

流量对抗
- 核心目的：规避通过网络流量分析举行的恶意行为检测。
- 关键点：
  - 流量加密：通过SSL/TLS或自定义加密协议，隐藏网络通信内容。
  - 流量伪装：模拟正当流量模式（如HTTP、HTTPS流量），降低被发现的大概性。
  - 流量随机化：动态改变通信的大小、时间隔断和模式，制止流量特征被检测到。
行为对抗
- 核心目的：规避基于行为检测的杀软和EDR（Endpoint Detection and Response）。
- 关键点：
  - 延迟启动：通过时间延迟绕过行为检测的初期监控。
  - 动态加载模块：规避静态分析和初始行为特征。
  - 最小化行为特征：淘汰显著的恶意活动（如文件写入、内存分配）以制止触发规则。

杀软查杀特点

流量查杀
- 特点：分析网络通信流量，通过特征匹配或AI分析检测异常。
- 对抗方式：
  - 流量加密（如HTTPS、WSS）。
  - 流量伪装成正当的第三方服务（如欣赏器流量）。
  - 利用 CDN 或正当域名肴杂真实目的。
静态查杀
- 特点：基于文件特征（如hash值、签名）或代码内容（如字符串、函数调用）检测恶意步伐。
- 对抗方式：
  - 文件肴杂（如代码加密、动态解密）。
  - 利用动态加载或加壳技能隐藏伤害内容。
  - 在IAT（Import Address Table）中制止直接引用伤害函数。
IAT 签名与静态查杀
- 核心问题：静态查杀的重点是IAT中是否存在伤害函数（如CreateProcess、VirtualAlloc等）。
- 隐藏方式：
  - 利用动态调用（如GetProcAddress或LoadLibrary）。
  - 基于PEB（Process Environment Block）与hash技能获取函数地点。
- 示例：
  - 动态调用示例：
    FARPROC proc = GetProcAddress(GetModuleHandleA("kernel32.dll"), "CreateProcessA");
    proc(...);
    复制代码
  - PEB+hash动态获取：
    利用PEB遍历模块列表，通过函数名称hash计算匹配目的函数。
签名检查
- 过期签名：Windows 11会通过时间戳和CRL（证书吊销列表）检查过期签名。
  - 规避方式：
    - 利用正规代码签名的文件作为loader。
    - 制止直接运行未签名或过期签名的可执行文件。
- 白+黑策略：将白步伐加载器与恶意DLL结合，以分层对抗检测。
单EXE熵值检测
- 熵值特点：高熵通常是加密或压缩的标记，被杀软（如360）重点关注。
- 对抗方式：
  - 合理降低熵值：混入伪代码或正当字符串。
  - 加载外部资源而非直接加密存储。
  - 利用非典型加密算法或分块处理降低团体熵值。
Hash标记
- 特点：白文件和恶意DLL的组合轻易被标记为黑。
- 对抗方式：
  - 定期更换白文件与黑DLL的hash值。
  - 利用正当步伐加载动态加密的shellcode以规避直接标记。

国外与国内EDR对比

国外EDR（如CrowdStrike、Carbon Black）
- 特点：
  - 更关注行为和流量分析。
  - 静态查杀能力较弱。
- 对抗重点：
  - 制止显着的恶意行为（如代码注入、DLL劫持）。
  - 流量伪装为正当的业务流量。
国内杀软（如360、赛门铁克）
- 特点：
  - 注重静态查杀（签名、熵值、hash等）。
  - 强盛的流量和动态行为分析能力。
- 对抗重点：
  - 利用动态加载技能隐藏静态伤害特征。
  - 制止高熵文件直接暴露，利用正当步伐作为入口点。

重点分析与建议

对抗静态查杀
- 动态调用伤害函数（GetProcAddress/PEB）。
- 动态解密payload，制止静态分析工具提取。
- 分层计划，将敏感逻辑从主步伐分离。
对抗行为与流量分析
- 模拟正当用户行为，伪装流量特征。
- 延迟启动与分阶段执行，规避初期监控。
- 加强加密流量的伪装性，制止简单特征匹配。
签名与hash管理
- 利用可信签名的步伐作为入口，制止直接暴露恶意payload。
- 定期更新组件的hash值，淘汰被标记的大概性。

通过以上策略，可以在肯定水平上规避杀软和EDR的检测，但必要连续更新技能以适应安全产物的升级与特征匹配规则的变革。
3.函数调用链
以下是对您形貌的安全技能相关内容的整理与分析：

以下是对您形貌的安全相关技能和策略的分析、实现思路和防御对策的详细分析：

1. VirtualAlloc + Shellcode执行链分析

操作流程：

申请可执行内存：
- 利用VirtualAlloc分配内存，设置为可执行权限（PAGE_EXECUTE_READWRITE）。
解密Shellcode：
- 动态解密Shellcode以制止静态分析检测。
Memcpy拷贝：
- 利用memcpy将解密后的代码写入分配的内存。
指针执行：
- 通过函数指针调用内存中的Shellcode完成执行。

示例代码：

void* exec_mem = VirtualAlloc(NULL, payload_size, MEM_COMMIT | MEM_RESERVE, PAGE_EXECUTE_READWRITE);
memcpy(exec_mem, encrypted_shellcode, payload_size);
decrypt_shellcode(exec_mem, payload_size);
((void(*)())exec_mem)();

复制代码

风险点：

VirtualAlloc的显著特征轻易被检测。
Shellcode动态执行是常见的恶意行为特征。

规避技能：

间接调用VirtualAlloc：
- 利用动态剖析函数地点（GetProcAddress）。
- 模糊调用链，例如通过ntdll的NT函数间接完成内存分配。
堆栈欺骗（Spoof Call）：
- 修改调用栈伪装函数链，欺骗分析工具。
- 示例：伪装调用链为正当模块触发。
替代分配方式：
- 通过HeapAlloc分配不可执行内存，后续利用VirtualProtect修改内存属性。
1. void* mem = HeapAlloc(GetProcessHeap(), 0, payload_size);
2. VirtualProtect(mem, payload_size, PAGE_EXECUTE_READWRITE, &oldProtect);
复制代码

2. 伤害操作及对抗措施

伤害操作：

Shell下令执行：
- 创建cmd.exe或powershell.exe子历程，执行伤害下令。
- 典型检测特征：通过CreateProcess启动外部历程。
注入操作：
- 获取目的历程句柄（OpenProcess）。
- 利用WriteProcessMemory写入代码，CreateRemoteThread注入执行。
修改目的历程内容（CFG掩护绕过）：
- CFG（Control Flow Guard）会检测对目的历程内容的非预期修改。
- 修改后大概触发目的历程自动销毁。

规避技能：

下令执行伪装：
- 利用正当的子历程作为桥接点执行下令（如msbuild.exe）。
- 隐藏下令行参数或利用.Net加载脚本：
  1. Process.Start("powershell.exe", "-nop -enc <base64_payload>");
  复制代码
注入技能优化：
- 利用无句柄方法注入，如APC（Asynchronous Procedure Call）或Reflective DLL Injection。
- 规避直接调用OpenProcess，通过提升权限的子历程完成注入。
绕过CFG掩护：
- 利用历程镜像加载，先加载目的历程的副本，在副本中完成修改后切换到原历程运行。
操作注册表与计划任务：
- 动态加载advapi32.dll，利用RegSetValueEx设置注册表键值。
- 创建计划任务时，伪装触发步伐路径为可信文件路径。

3. Hook与反Hook技能

Bitdefender Hook对抗：

R3 Hook（用户态钩子）：
- 检测方法：
  - 查看DLL导入表中是否存在异常钩子指向。
  - 检查内存区域是否存在被修改的代码。
- 解除方法（Unhook）：
  - 重写内存区域为原始字节。
  - 动态加载未被钩子的体系DLL替换被钩的函数。
关键函数钩子（如VirtualAlloc）：
- 通过反向分析，查找杀软对VirtualAlloc调用的处理逻辑。
- 动态替换钩子：
  - 利用jmp汇编替换钩子地点，恢复原始指令：
    jmp [original_function_address]
    复制代码

汇编级操作示例：

VirtualAlloc Hook绕过：
1. mov eax, [original_virtualalloc_address]
2. call eax
复制代码

4. BOF（Beacon Object File）与AMS掩护绕过

BOF执行链：

概念：
- BOF是Cobalt Strike中用于扩展功能的模块，基于C语言实现。
- 利用WinAPI完成低级操作。
AMS掩护绕过：
- AMSI（Antimalware Scan Interface）是Windows的反恶意软件接口，会拦截和检测PowerShell、脚本等执行。

绕过技能：

AMSI内存补丁：
- 修改AMSI.dll中关键函数的返回值为成功：
  1. char patch[] = { 0x31, 0xC0, 0xC3 }; // xor eax, eax; ret
  2. WriteProcessMemory(hProc, amsiScanBufferAddress, patch, sizeof(patch), NULL);
  复制代码
动态加载绕过：
- 制止直接调用AMSI，利用动态加载并替换检测函数。

5. 计划任务与注册表操作

计划任务创建：
- 利用schtasks.exe创建计划任务。
- 伪装触发器为体系事件或特定时间。
注册表操作：
- 设置Run键值实现开机启动。
- 创建隐藏的注册表项存储恶意配置。

总结

通过结合动态加载、堆栈欺骗、反Hook和行为伪装等技能，可以有效绕过大部分静态和动态检测机制，但必要注意以下几点：

动态加载：隐藏关键API调用，淘汰暴露特征。
堆栈与调用链伪装：肴杂行为路径，欺骗分析工具。
绕过AMS与CFG：修改内存结构以制止关键功能被阻止。
防御对抗策略更新：需针对差异杀软和EDR连续优化对抗策略。

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。

欢迎光临 ToB企服应用市场:ToB评测及商务社交产业平台 (https://dis.qidao123.com/)