诱骗调用堆栈以肴杂 EDR

调用堆栈是 EDR 产物中一个不被器重但通常非常告急的遥测泉源。它们可以为变乱提供告急配景信息，而且是区分误报和真报的极其强盛的工具（尤其是对于凭据偷窃变乱，比方句柄访问 lsass）。

比方，攻击者通常通过注入代码驻留在内存中。这种未备份或浮动的内存将在举行 API 调用时表现在调用堆栈中，而且显得非常非常。
已经有一些关于诱骗调用堆栈的公开研究（最著名的是 https://github.com/mgeeky/ThreadStackSpoofer 和 https://github.com/Cracked5pider/Ekko），但这些研究好像告急会合于匿伏就寝线程的调用堆栈以免受 AV/EDR 检测（比方 Cobalt Strike 就寝掩码）。
这与自动诱骗 EDR（或 ETW 提供步伐）从内核驱动步伐为特定 TTP 记载虚伪调用堆栈形成对比，比如打开 lsass 的句柄以准备转储根据。这篇博文将演示一种 PoC 技能，该技能将答应使用恣意调用堆栈（即真正的调用堆栈诱骗器）调用 NtOpenProcess。
技能演练

Windows 内核提供了许多回调函数供 AV/EDR 驱动步伐订阅，以便吸收有关体系变乱的关照。比方，这包罗历程创建/删除变乱 (

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！qidao123.com:ToB企服之家，中国第一个企服评测及软件市场,开放入驻,技术点评得现金