如何逃逸Sy *** on工具对DNS的监控-黑客接单平台

访客5年前黑客资讯1420
Sy *** on是微软的一款轻量级的体系监控东西,最开端是由Sysinternals开发的,后来Sysinternals被微软收买,现在归于Sysinternals系列东西。它通过体系服务和驱动程序完成记载进程创立、文件拜访以及 *** 信息的记载,并把相关的信息写入并展现在windows的日志事情里。 最近Sy *** on的开发人员又对Sy *** on进行了改善,在其中加入了一项新功用,答应Sy *** on记载DNS事情。尽管这为安全管理人员供给了一个很好的事情追寻办法,但任何事物都有其两面性,假如咱们作为进犯者,这意味着假如咱们植入的歹意软件或有效载荷测验通过DNS进行通讯,则Sy *** on就会呈现许多DNS进犯的监控目标,进犯者就能够运用这些目标做文章。 这篇文章中,我将介绍一种怎么逃逸 Sy *** on (Sy *** on 10.1版别)东西对 DNS 的监控的办法。 但在咱们开端寻求详细的逃逸办法之前,咱们需求首要布置一下测验环境。本文中,我运用的是@ SwiftOnSecurity的sy *** on-config,并运用以下指令装置Sy *** on: sy *** on.exe -accepteula -i rules.xml 跟着咱们的测验环境的发动和运转,你将开端看到事情正在进行。对事情ID 22的过滤会集在“DNS查询”上,如下图所示: 正常运转之后,让咱们首要看看怎么履行日志记载。 怎么履行DNS日志记载? 为了了解逃逸检测时可用的选项,我想首要回忆一下一般的安全监控东西是怎么作业的。以Sy *** on为例, ETW被广泛用于 *** 连接监控等方面,ETW(Event Tracing for Windows)供给了一种对用户层应用程序和内核层驱动创立的事情目标的盯梢记载机制。因而,DNS监控也是以类似的办法履行。假如咱们运用以下指令,首要会发现监控是从ETW开端的。 logman -ets 在装置Sy *** on之后,我注意到的“Data Collector Set(Data Collector Set)”的称号很古怪,被命名为“我的事情盯梢会话(My Event Trace Session)”。假如咱们进一步深入研讨,咱们会发现这很或许是为Sy *** on供给DNS数据的原因: 通过一些搜索之后,主张在许多方位运用microsoft – windows – dn – client provider作为显现DNS查询信息的适宜方位。但在咱们将其作为逃逸办法之前,我一般喜爱与履行套件的服务穿插引证。本文,咱们运用了Ghidra,Ghidra是由美国国家安全局(NSA)研讨部分开发的软件逆向工程(SRE)套件,用于支撑 *** 安全使命。进入Ghidra后,搜索“我的事情盯梢会话”作为一个界说的字符串,以下便是咱们发现的函数: 此刻,咱们在SysMon64.exe中有一个引证盯梢称号的函数(此函数和称号也与Microsoft文档中供给的示例代码十分类似)。上面的EnableTraceEx2调用的第二个参数供给了指向以下数据的指针: 当然,这与上面logman截图中显现的用于{1C95126E-7EEa-49A9-A3FE-A378B03DDB4D}的Microsoft-Windows-DNS-Client的GUID相同。因而,咱们必定知道这是DNS查询搜集进程的履行办法。接下来,咱们需求了解在恳求DNS记载时怎么触发这些事情。 怎么知道DNS事情被记载? 让咱们运用一个常见的DNS API调用DnsQuery_A,并测验找出ETW数据或许呈现的方位。清楚明了的起点是dnsapi.dll,它承载API调用。将其与PDB一同加载到Ghidra中,咱们能够开端检查或许杰出显现正在运用的ETW的功用。因为咱们现已知道GUID与DNS事情相关联,因而在测验查找起点时,咱们将运用这个GUID作为数据点。有点令人惊奇的是,咱们是在DLL中找到了这个GUID,并引证了DNS_CLIENT的符号: 假如咱们遵从对符号DNS_CLIENT的引证,咱们能够看到它是在函数McGenEventRegister中分配的: 从DllMain调用此函数,这意味着创立了一个句柄(DNS_CLIENT_Context)来发送事情。 为了了解这个句柄在DLL中的实践运用情况,让咱们创立一个小应用程序,它将为咱们履行DNS查询: #include #include int main() { DnsQuery_A("blog.xpnsec.com", DNS_TYPE_A, DNS_QUERY_STANDARD, NULL, NULL, NULL); } 假如咱们编译它并在WinDBG中将其旋转,咱们能够运用以下指令增加一个断点,在读取DNS_CLIENT_Context的内存时触发它。 ba r4 DNSAPI!DNS_CLIENT_Context 康复履行咱们的应用程序后,不久咱们就会遇到一个断点,调用仓库如下所示。 详细来说,咱们会发现以下相关的DNS事情被记载的指示。 [1][2]黑客接单网

相关文章

怎么脱节Google的影响,完成一个完全无Google要素的网络环境

本文我得先从我最近参加的一个安全检测项目开端谈起,本次的客户是一家企业,不得不说,本次咱们的客户的安全防护做得非常好。他们的安全运营中心(SOC)装备了许多先进的内部反常检测东西以及坚强的作业呼应团队...

浸透测验神器Cobalt Strike的“双面特务”身份剖析

CobaltStrike是一款内网浸透的商业远控软件,支撑自定义脚本扩展,功用十分强壮,常被业界人称为CS神器。Cobalt Strike现已不再运用MSF而是作为独自的渠道运用,它分为客户端与服务端...

秒爆十万字典:奇葩技巧快速枚举“一句话后门”暗码

关于一句话咱们都不生疏,有时会需求爆炸。爆炸的速度和方针的响应速度就有很大的关系了。那假如咱们爆炸的速度能够提高至少1000倍呢? 首要如下图↓ 变量=echo “ok”; 假如这个变量等于暗码的时分...

使用QL和LGTM进行变异分析-黑客接单平台

在软件开发中,咱们常常看到相同的代码过错在项目的生命周期中重复呈现。这些相同的过错甚至会呈现在多个项目中。有时,这些过错一同有多个活动实例,有时一次只要一个活动实例,可是它们不断地从头呈现。当这些过错...

Django开发与攻防测验(入门篇)

最近在培训包含在一些竞赛中,python结构方面的攻防需求呈现的越来越频频。 尽管python结构相关于Java、php等的广泛度还略低一点(当然现在的盛行程度现已越来越高了),可是咱们并不能够因此而...

色情广告挂马剖析:记一次挂马与挖矿之间的“密切触摸”

1. 布景: 近来,腾讯安全反病毒实验室发现,有一类木马经过网页广告挂马的方法大规划传达。广告内容为色情链接,诱导用户点击。链接中嵌入了一段触发IE缝隙的JS脚本,假如用户电脑的IE浏览器没有及时打好...