injectEtwBypass:通过Syscalls远程注入ETW绕过器的CobaltStrike BOF插件

最新推荐文章于 2024-11-05 20:46:18 发布
最新推荐文章于 2024-11-05 20:46:18 发布
阅读量949 收藏 28
点赞数 9
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/gitblog_00122/article/details/141524832

injectEtwBypass:通过Syscalls远程注入ETW绕过器的CobaltStrike BOF插件

injectEtwBypassCobaltStrike BOF - Inject ETW Bypass into Remote Process via Syscalls (HellsGate|HalosGate)项目地址:https://gitcode.com/gh_mirrors/in/injectEtwBypass

项目介绍

injectEtwBypass 是一个专为Cobalt Strike设计的Beacon Object File(BOF),它允许安全研究人员或渗透测试者通过系统调用( Syscalls)方式,将事件跟踪Windows (ETW)的绕过机制注入到远程进程中。这一功能对于执行隐蔽操作和规避检测具有重要意义。项目由@boku7维护,灵感来源于Adam Chester的工作,在恶意软件分析、逆向工程及网络安全研究领域内提供了一个强大工具。

项目快速启动

环境需求

  • Cobalt Strike: 需要有效的Cobalt Strike授权及运行环境。
  • x64 MinGW编译器: 用于编译BOF文件。

编译与加载

  1. 克隆项目
    首先,从GitHub上克隆injectEtwBypass项目仓库:

    git clone https://github.com/boku7/injectEtwBypass.git

  2. 编译BOF文件
    使用x64 MinGW编译器编译injectEtwBypass.c源文件:

    x86_64-w64-mingw32-gcc -m64 -mwindows -c injectEtwBypass.c -o injectEtwBypass.o -masm=intel

  3. 加载到Cobalt Strike
    在Cobalt Strike的Script Manager中加载生成的.cna脚本。首先,你需要把injectEtwBypass.cna(在编译完成后应自动生成或者手动构建)上传到Cobalt Strike服务器或本地,然后通过脚本管理界面导入该脚本。

  4. 使用命令
    通过Cobalt Strike的交互式Beacon控制台,你可以使用以下命令来注入ETW绕过器:

    beacon> injectEtwBypass PID

    其中PID是目标进程的ID。

应用案例和最佳实践

目标进程注入实例

假设你的目标是在PID为1234的进程上实施ETW绕过,操作步骤如下:

  1. 确定目标进程的PID。
  2. 在Cobalt Strike的Beacon控制台中输入命令:beacon> injectEtwBypass 1234
  3. 观察输出确认操作成功并监视目标进程的行为变化,确保不触发额外的安全警报。

安全测试场景

在红队训练或安全评估时,此工具可用于模拟高级攻击者的行为,测试企业的监控和防御机制是否能够有效识别并响应ETW绕过的尝试。

典型生态项目

在网络安全社区,类似injectEtwBypass的工具有着重要的生态位置,它们常常被用于扩展Cobalt Strike的功能,包括但不限于:

  • Ajpc500/BOFs: 提供了多种BOF示例和工具,丰富Cobalt Strike的能力。
  • TrustedSec/CS-Situational-Awareness-BOF: 增强Cobalt Strike对环境感知的能力。

这些项目共同构成了渗透测试和红蓝对抗中的重要技术栈,促进安全研究和防御策略的发展。

以上就是关于injectEtwBypass的基本使用教程,注意合理合法地使用此类工具,并且理解其可能涉及的法律与道德边界。在信息安全领域,总是确保获得必要的权限和遵循合法合规的测试流程。

injectEtwBypassCobaltStrike BOF - Inject ETW Bypass into Remote Process via Syscalls (HellsGate|HalosGate)项目地址:https://gitcode.com/gh_mirrors/in/injectEtwBypass

创作声明:本文部分内容由AI辅助生成(AIGC),仅供参考

红蓝对抗之红队免杀开发实践
悦分享
08-04 2107
我们在这个加载程序中执行的beacon shellcode最终是一个需要在内存中执行的DLL。许多C2框架利用了Stephen Fewer的。解析加载DLL所需kernel32.dll WINAPI的地址(例如VirtualAlloc, LoadLibraryA等);将DLL及其相应的节写入内存中;建立DLL导入表,以便DLL可以调用ntdll.dll和kernel32.dll WINAPI;加载额外的库并解析其导入函数地址;调用DLL的入口点。...
Malware Dev 04 - 隐匿之 ETW(Event Tracing for Windows)Bypass
0pr
03-06 2358
这篇文章通过对 clr.dll,advapi32.dll,以及 ntdll.dll 的简单逆向,解析了 ETW(Event Tracing for Windows)的整体调用链。之后,我们介绍了两种 ETW绕过方式。一种是 patch EtwEventWrite 方法,另一种是 patch NtTraceEvent 方法。同时,配合 SilkETW,我们对两种绕过方式进行了成功验证。
ETW绕过PoC测试1--关闭你的ProcMon.exe
jentle8的博客
08-24 654
ETW 绕过系列1
注入ETW绕过:基于Syscalls远程进程注入工具
gitblog_00366的博客
11-05 294
注入ETW绕过:基于Syscalls远程进程注入工具 injectEtwBypass CobaltStrike BOF - Inject ETW Bypass into Remote Process via Syscalls (HellsGate|HalosGate) ...
推荐文章:利用ETW实现进程注入检测——TiEtwAgent
gitblog_00044的博客
05-28 584
推荐文章:利用ETW实现进程注入检测——TiEtwAgent 去发现同类优质开源项目:https://gitcode.com/ 1、项目介绍 TiEtwAgent是一个创新的开源项目,专注于研究、构建和测试内存注入检测的不同场景和技术,以及绕过技巧。这个智能代理利用了Microsoft-Windows-Threat-Intelligence事件追踪提供者,作为用户态挂钩的现代替代方案,提供了内核模...
TiEtwAgent:基于ETW的PoC内存注入检测代理,用于攻防研究
04-16
TiEtwAgent-基于ETW的过程注入检测 创建该项目的目的是研究,构建和测试不同的内存注入检测用例和旁路技术。 该代理利用Microsoft-Windows-Threat-Intelligence事件跟踪提供程序,作为Userland-hooking的一种更现代,更稳定的替代方法,它具有内核模式可见性的优点。 该项目依赖于库进行ETS设置和使用。 可以在此处找到随附的博客文章: : 添加新的检测 检测功能可以轻松地添加到DetectionLogic.cpp ,并可以针对任何源事件类型从detect_event(GenericEvent evt)调用。 通过将其名称附加到GenericEvent类声明中的映射,可以轻松添加对新事件字段的支持。 设定说明 假设您没有Microsoft信任的签名证书: 使用bcdedit将计算机置于测试签名模式 使用ELAM和代码签名EKU生成自
隐藏的宝藏:使用ETW的入侵检测(第2部分)
爱我非你莫属的博客
07-16 1380
隐藏的宝藏:使用ETW的入侵检测(第2部分) 原文链接:https://docs.microsoft.com/zh-cn/archive/blogs/office365security/hidden-treasure-intrusion-detection-with-etw-part-2 在上一篇文章中,我们讨论了Windows事件跟踪(ETW)如何提供丰富的知识,以及Windows安全事件日志提供的知识。尽管我们可以更好地了解Windows活动,但ETW最初是作为大批量调试跟踪提供的。如果没有某种过滤或减
探索Etw-Syscall:一个强大的Windows系统调用追踪工具
gitblog_00089的博客
04-20 789
探索Etw-Syscall:一个强大的Windows系统调用追踪工具 去发现同类优质开源项目:https://gitcode.com/ 项目简介 是一个开源项目,旨在提供一个高效、轻量级的方式来追踪和分析Windows操作系统的系统调用。它利用了Windows事件跟踪(Event Tracing for Windows, ETW)技术,帮助开发者、安全研究人员和性能优化人员深入了解系统内部行为,从...
浅谈bypass Etw
记录学习,一起进步
02-06 1000
bypass etw
ETW的攻与防
hongduilanjun的博客
09-14 3258
ETW全称为,即windows事件跟踪,它是Windows提供的原生的事件跟踪日志系统。由于采用内核层面的缓冲和日志记录机制,所以ETW提供了一种非常高效的事件跟踪日志解决方案,本文基于ETW探究其攻与防的实现。
防病毒和 EDR 绕过技术,总结到目前EDR绕过方法详细攻略
若有战,召必回
10-18 2015
防病毒、反恶意软件和EDR是预防攻击的常用工具。但它们可以被绕过,本文探讨了在加载程序中实现的各种绕过技术。加载程序是一种通过绕过保护措施执行恶意负载的程序。文章将展示这些技术如何帮助渗透测试团队,并介绍各种可能的安全措施及其绕过技术 在我们的审计过程中,特别是在进行基础设施和网络渗透测试时,我们的安全专家可能需要在安装了防病毒软件的环境中运行特定的评估工具。这些工具,如用于评估Active Directory安全性的Rubeus和SharpHound等,由于其功能与实际网络攻击中可能使用的工具相
ETW Bypass
Dokii_i的博客
01-31 501
像 Java 是由 JVM 托管的,.NET 程序集(比如C_Sharp.exe) 都是由 CLR 托管的。CLR 会通过 ntdll 的 EtwEventWrite函数 公开信息。通过三个接口可以启动 CLR 来对 .NET 程序集 进行硬盘加载。使用插件前的 EtwEventWrite函数。一种事件追踪机制,会检测 .NET 程序集。发现开头变成了ret,使函数无法被正常调用。还可以看到启动了CLR(clr.dll)再查看 .NET 信息,发现获取不到了。直接从内存加载,不需要从硬盘读取。
AV/EDR 免杀逃避技术汇总
jentle8的博客
09-08 3366
EDR AV 逃避和免杀方案汇总
injectEtwBypass 项目常见问题解决方案
最新发布
gitblog_00268的博客
11-05 778
injectEtwBypass 项目常见问题解决方案 injectEtwBypass CobaltStrike BOF - Inject ETW Bypass into Remote Process via Syscalls (HellsGate|HalosGate) ...
windbg使用方法_两种最新Bypass ETW的方法
weixin_39668470的博客
11-22 1053
译文声明本文是翻译文章,文章原作者modexp,文章来源:modexp.wordpress.com原文地址:https://modexp.wordpress.com/2020/04/08/red-teams-etw/译文仅供参考,具体内容表达以及含义原文为准2020年4月7日,Dylan在其twitter上发布了一种绕过Sysmon和ETW的通用方法,我们对其进行了跟踪研究。4月8日,...
隐藏的宝藏:使用ETW的入侵检测(第1部分)
爱我非你莫属的博客
07-16 1198
隐藏的宝藏:使用ETW的入侵检测(第1部分) 原文链接:https://docs.microsoft.com/zh-cn/archive/blogs/office365security/hidden-treasure-intrusion-detection-with-etw-part-1 当今的捍卫者在信息不对称方面面临越来越大的障碍。随着内存攻击和针对性恶意软件的出现,防御者无法简单地依靠Windows提供的默认事件日志。攻击者可能利用进程挖空在看似良性的进程中隐藏其代码,并通过DNS路由其“命令和控制”
阿尔瓦二进制行为检查:深入syscalls与网络流量监控
二进制行为检查通过分析进出网络的数据包,可以发现潜在的恶意通信,进而判断正在分析的程序是否具备恶意行为。 描述中提到的"注意恶意软件",则是对使用者的一种提醒,表明该工具被设计用于识别和分析恶意软件,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

井唯喜

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值