流量对抗与行为对抗
- 流量对抗
- 核心目的:规避通过网络流量分析举行的恶意行为检测。
- 关键点:
- 流量加密:通过SSL/TLS或自定义加密协议,隐藏网络通信内容。
- 流量伪装:模拟正当流量模式(如HTTP、HTTPS流量),降低被发现的大概性。
- 流量随机化:动态改变通信的大小、时间隔断和模式,制止流量特征被检测到。
- 行为对抗
- 核心目的:规避基于行为检测的杀软和EDR(Endpoint Detection and Response)。
- 关键点:
- 延迟启动:通过时间延迟绕过行为检测的初期监控。
- 动态加载模块:规避静态分析和初始行为特征。
- 最小化行为特征:淘汰显著的恶意活动(如文件写入、内存分配)以制止触发规则。
杀软查杀特点
- 流量查杀
- 特点:分析网络通信流量,通过特征匹配或AI分析检测异常。
- 对抗方式:
- 流量加密(如HTTPS、WSS)。
- 流量伪装成正当的第三方服务(如欣赏器流量)。
- 利用 CDN 或正当域名肴杂真实目的。
- 静态查杀
- 特点:基于文件特征(如hash值、签名)或代码内容(如字符串、函数调用)检测恶意步伐。
- 对抗方式:
- 文件肴杂(如代码加密、动态解密)。
- 利用动态加载或加壳技能隐藏伤害内容。
- 在IAT(Import Address Table)中制止直接引用伤害函数。
- IAT 签名与静态查杀
- 核心问题:静态查杀的重点是IAT中是否存在伤害函数(如CreateProcess、VirtualAlloc等)。
- 隐藏方式:
- 利用动态调用(如GetProcAddress或LoadLibrary)。
- 基于PEB(Process Environment Block)与hash技能获取函数地点。
- 示例:
- 动态调用示例:
- FARPROC proc = GetProcAddress(GetModuleHandleA("kernel32.dll"), "CreateProcessA");
- proc(...);
- PEB+hash动态获取:
利用PEB遍历模块列表,通过函数名称hash计算匹配目的函数。
- 签名检查
- 过期签名:Windows 11会通过时间戳和CRL(证书吊销列表)检查过期签名。
- 规避方式:
- 利用正规代码签名的文件作为loader。
- 制止直接运行未签名或过期签名的可执行文件。
- 白+黑策略:将白步伐加载器与恶意DLL结合,以分层对抗检测。
- 单EXE熵值检测
- 熵值特点:高熵通常是加密或压缩的标记,被杀软(如360)重点关注。
- 对抗方式:
- 合理降低熵值:混入伪代码或正当字符串。
- 加载外部资源而非直接加密存储。
- 利用非典型加密算法或分块处理降低团体熵值。
- Hash标记
- 特点:白文件和恶意DLL的组合轻易被标记为黑。
- 对抗方式:
- 定期更换白文件与黑DLL的hash值。
- 利用正当步伐加载动态加密的shellcode以规避直接标记。
国外与国内EDR对比
- 国外EDR(如CrowdStrike、Carbon Black)
- 特点:
- 对抗重点:
- 制止显着的恶意行为(如代码注入、DLL劫持)。
- 流量伪装为正当的业务流量。
- 国内杀软(如360、赛门铁克)
- 特点:
- 注重静态查杀(签名、熵值、hash等)。
- 强盛的流量和动态行为分析能力。
- 对抗重点:
- 利用动态加载技能隐藏静态伤害特征。
- 制止高熵文件直接暴露,利用正当步伐作为入口点。
重点分析与建议
- 对抗静态查杀
- 动态调用伤害函数(GetProcAddress/PEB)。
- 动态解密payload,制止静态分析工具提取。
- 分层计划,将敏感逻辑从主步伐分离。
- 对抗行为与流量分析
- 模拟正当用户行为,伪装流量特征。
- 延迟启动与分阶段执行,规避初期监控。
- 加强加密流量的伪装性,制止简单特征匹配。
- 签名与hash管理
- 利用可信签名的步伐作为入口,制止直接暴露恶意payload。
- 定期更新组件的hash值,淘汰被标记的大概性。
通过以上策略,可以在肯定水平上规避杀软和EDR的检测,但必要连续更新技能以适应安全产物的升级与特征匹配规则的变革。
3.函数调用链
以下是对您形貌的安全技能相关内容的整理与分析:
以下是对您形貌的安全相关技能和策略的分析、实现思路和防御对策的详细分析:
1. VirtualAlloc + Shellcode执行链分析
操作流程:
- 申请可执行内存:
- 利用VirtualAlloc分配内存,设置为可执行权限(PAGE_EXECUTE_READWRITE)。
- 解密Shellcode:
- Memcpy拷贝:
- 指针执行:
- 通过函数指针调用内存中的Shellcode完成执行。
示例代码:
- void* exec_mem = VirtualAlloc(NULL, payload_size, MEM_COMMIT | MEM_RESERVE, PAGE_EXECUTE_READWRITE);
- memcpy(exec_mem, encrypted_shellcode, payload_size);
- decrypt_shellcode(exec_mem, payload_size);
- ((void(*)())exec_mem)();
- VirtualAlloc的显著特征轻易被检测。
- Shellcode动态执行是常见的恶意行为特征。
规避技能:
- 间接调用VirtualAlloc:
- 利用动态剖析函数地点(GetProcAddress)。
- 模糊调用链,例如通过ntdll的NT函数间接完成内存分配。
- 堆栈欺骗(Spoof Call):
- 修改调用栈伪装函数链,欺骗分析工具。
- 示例:伪装调用链为正当模块触发。
- 替代分配方式:
- 通过HeapAlloc分配不可执行内存,后续利用VirtualProtect修改内存属性。
- void* mem = HeapAlloc(GetProcessHeap(), 0, payload_size);
- VirtualProtect(mem, payload_size, PAGE_EXECUTE_READWRITE, &oldProtect);
2. 伤害操作及对抗措施
伤害操作:
- Shell下令执行:
- 创建cmd.exe或powershell.exe子历程,执行伤害下令。
- 典型检测特征:通过CreateProcess启动外部历程。
- 注入操作:
- 获取目的历程句柄(OpenProcess)。
- 利用WriteProcessMemory写入代码,CreateRemoteThread注入执行。
- 修改目的历程内容(CFG掩护绕过):
- CFG(Control Flow Guard)会检测对目的历程内容的非预期修改。
- 修改后大概触发目的历程自动销毁。
规避技能:
- 下令执行伪装:
- 利用正当的子历程作为桥接点执行下令(如msbuild.exe)。
- 隐藏下令行参数或利用.Net加载脚本:
- Process.Start("powershell.exe", "-nop -enc <base64_payload>");
- 注入技能优化:
- 利用无句柄方法注入,如APC(Asynchronous Procedure Call)或Reflective DLL Injection。
- 规避直接调用OpenProcess,通过提升权限的子历程完成注入。
- 绕过CFG掩护:
- 利用历程镜像加载,先加载目的历程的副本,在副本中完成修改后切换到原历程运行。
- 操作注册表与计划任务:
- 动态加载advapi32.dll,利用RegSetValueEx设置注册表键值。
- 创建计划任务时,伪装触发步伐路径为可信文件路径。
3. Hook与反Hook技能
Bitdefender Hook对抗:
- R3 Hook(用户态钩子):
- 检测方法:
- 查看DLL导入表中是否存在异常钩子指向。
- 检查内存区域是否存在被修改的代码。
- 解除方法(Unhook):
- 重写内存区域为原始字节。
- 动态加载未被钩子的体系DLL替换被钩的函数。
- 关键函数钩子(如VirtualAlloc):
- 通过反向分析,查找杀软对VirtualAlloc调用的处理逻辑。
- 动态替换钩子:
- 利用jmp汇编替换钩子地点,恢复原始指令:
- jmp [original_function_address]
汇编级操作示例:
- VirtualAlloc Hook绕过:
- mov eax, [original_virtualalloc_address]
- call eax
4. BOF(Beacon Object File)与AMS掩护绕过
BOF执行链:
- 概念:
- BOF是Cobalt Strike中用于扩展功能的模块,基于C语言实现。
- 利用WinAPI完成低级操作。
- AMS掩护绕过:
- AMSI(Antimalware Scan Interface)是Windows的反恶意软件接口,会拦截和检测PowerShell、脚本等执行。
绕过技能:
- AMSI内存补丁:
- 修改AMSI.dll中关键函数的返回值为成功:
- char patch[] = { 0x31, 0xC0, 0xC3 }; // xor eax, eax; ret
- WriteProcessMemory(hProc, amsiScanBufferAddress, patch, sizeof(patch), NULL);
- 动态加载绕过:
- 制止直接调用AMSI,利用动态加载并替换检测函数。
5. 计划任务与注册表操作
- 计划任务创建:
- 利用schtasks.exe创建计划任务。
- 伪装触发器为体系事件或特定时间。
- 注册表操作:
- 设置Run键值实现开机启动。
- 创建隐藏的注册表项存储恶意配置。
总结
通过结合动态加载、堆栈欺骗、反Hook和行为伪装等技能,可以有效绕过大部分静态和动态检测机制,但必要注意以下几点:
- 动态加载:隐藏关键API调用,淘汰暴露特征。
- 堆栈与调用链伪装:肴杂行为路径,欺骗分析工具。
- 绕过AMS与CFG:修改内存结构以制止关键功能被阻止。
- 防御对抗策略更新:需针对差异杀软和EDR连续优化对抗策略。
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。 |
