APT研究二进制安全渗透复现 [2023]我是如何通过EDR在五分钟内发现完全未标记的威胁 > 在日常EDR运维中,我们发现了一个异常的情况,但是无法立刻确定,因为所有已知的数据库都无法匹配上这个异常情况..... # 开始 在日常运维中,我们发现了EDR很少会报告可疑的活动,这个行为除了少部分流氓软件以外,一般是不会出现在一个完全未知的程序上: 阅读全文 2023-11-07 huoji 3 条评论
系统安全二进制安全渗透复现 [2021]process herpaderping原理 看了看国外这个process Herpaderping这个东西,被国内某些人吹的玄乎的要死,有点尬, 核心原理如下,杀毒软件用processcreatenotifycallback监视进程创建,然后做杀毒操作之类的,但是这个是有个问题: ![](https://key08.com/usr/uploads/2021/08/674615226.png) 这个回调需要有线程进入才会激活,没有自然是不会有信息的 所以国外这个作者,这样利用了磁盘缓存来绕过processcreatenotifycallback: 1. 打开一个黑文件和白文件 2. 把白文件的内容写到黑文件里面 3. NtCreateSection映射黑文件的内容【关键】 4. 创建白文件的进程,进程内存区段填写第三步映射黑文件的内容,此时不会触发processcreatenotifycallback 5. 给黑文件填充随机垃圾字符【关键】,并且修复参数通过写PEB 6. 创建线程启动第四步的进程 7. 再次启动进程.你会发现,黑文件代码顶着白文件的壳跑,并且杀毒软件不认为有异常 **所以为什么会这样,原因出在硬盘读写设计中,是有一层缓存的,缓存和硬盘内容不一定会实时同步,一般是在有完全关闭文件的操作后才会跟硬盘内容同步** 本次注入利用了,把白文件的内容写到黑文件里面的时候缓存并不会更新。 启动进程的时候,用的是NtCreateSection的内存,也就是缓存的内存,在启动线程去执行线程的时候,由于磁盘文件和内存镜像不同,走完processcreatenotifycallback后直接CloseFile关闭文件了(这里是系统自己关闭的) 现在就有了一个奇怪的文件 硬盘内容是白文件的内容、缓存里面是黑文件的代码,执行这个文件的时候, 由于部分其他的属性不是来自缓存而且来自于硬盘的,所以导致了,一个黑文件看起来顶着一个白文件跑..... 当然重启后缓存没了,这个黑文件就没了,就成白文件了 > ps: 很久之前我注意到了一个现象(18年左右写反作弊的时候),在修改SECTION_OBJECT_POINTERS->FILE_OBJECT的时候,我以为他是内存行为,关闭文件就没了,实际上他会有个操作系统缓存,也就是说你改了这玩意后,下次启动文件,他还是会访问缓存.导致我查了很久资料才发现这玩意居然是全局缓存共享的tm的 知道原理后,就很容易检测了,检测方法如下: 创建进程回调里面检查缓存是否与磁盘文件一致,不一致可以认为是搞破坏的(一般也不会不一致),sysmon里面 EventID 25的镜像被替换就是这样做的 阅读全文 2021-08-12 huoji 0 条评论
APT研究系统安全二进制安全渗透复现 [2021]Office DDE恶意代码执行技术 随着office宏病毒的被检测率提高, Office DDE恶意代码执行技术在这几年开始流行起来.在这里就简单的介绍并且复现一下DDE的技术实现: 打开一个office文档,插入-文档部件-域,选择第一个= (Formula) 然后右键切换域代码来编辑代码,插入你想执行的payload: ![](https://key08.com/usr/uploads/2021/05/3768934303.png) 阅读全文 2021-05-30 huoji 0 条评论
APT研究系统安全渗透案例web安全渗透复现 [2021]windows威胁猎捕 (一) 开一个新坑,介绍老外那边在windows上的一些常用威胁猎捕方法.当然这是一个长篇,每部分打算介绍五种威胁的检测方案。 本篇将介绍如何检测到如下威胁 1. RDP链接 2. PsLoggedOn 3. PsExec 4. DDE活动的Office文档 5. net.exe 阅读全文 2021-05-30 huoji 0 条评论