-
-
[原创]杀软浅析及cobaltstrike免杀wd卡巴实践
-
2021-12-29 10:22
-
一、概述
一起小结下浅析常见杀软及cobaltstrike过windows defender、卡巴实践。文章有很多待补充及实践的地方,谢谢大家。
二、杀软常见查杀分类
静态查杀:主要基于hash和特征码,hash可以是文件的hash或导入表之类的hash,特征码可以是是PE头、pdb、全局字符串、互斥体之类的信息。
动态查杀:基于API的监控和沙箱执行,杀软会通过对ntdll的关键API进行hook,实现对程序的API监控。另外可以在内核中注册一系列的回调函数实现对行为的监控。
启发式:多数杀软采用的是基于权重的启发式,就是一套加减分的规则,用于检测程序的潜在恶意行为,如程序在沙盒或模拟器环境运行,在此过程中有操作端口和通讯的函数,并将自身加载到启动项中等上述行为,则很有可能被判定为恶意,另外一些畸形区块也可触发。
三、杀软行为浅析
杀软的基本功能包括:反病毒内核、扫描引擎、特征库、解包程序、模拟器、流量监控、浏览器安全插件、自我保护及更新等。
首先我们可以先从相应的驱动着手,杀软已经在system进程中加载了不同功能的驱动:
我们可以简单瞅瞅里面的驱动,先以360FsFlt.sys为例子:
根据导入表中的回调函数,可见该驱动对进程、线程、模块、对象及注册表均进行了相应的监控操作:
然后一系列Flt系列的函数,可见该驱动是Minifilter文件监控:
其中FltRegisterFilter()是用来注册为过滤器的(注意第二个参数是一个微过滤器注册结构体),然后通过FltCreateCommonicationProt()注册通讯端口与用户态通讯,最后调用FltStartFiltering()开始过滤操作:
微过滤器注册结构体,注意其第五个属性Operation Registion,为文件操作的回调函数注册的地方。
我们再外后看,像比较敏感explorer、wscript等程序运行时也会挂载相应的dll:
当我们的文件落盘后360的托盘程序也会拉起,:
我们自身程序在双机运行后,360的托盘程序也同样会拉起:
对我们所运行的程序进行一系列文件相关的操作:
我们可以观察其调用堆栈,由此可以决定处出每次createFile是由那个dll拉起的:
同样我们可以使用Autorun 过滤关键字得知360在注册表哪些地方做了持久化:
HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run:
HKLM\System\CurrentControlSet\Services:
HKLM\System\CurrentControlSet\Services:
Ntdll HOOK
Edr通常会hook住ntdll,是程序后续的操作走入edr的流程,下面在edr中是被hook住的函数:
下面图片中红色框中的是正常的NtWriteVirtualMemey()流程,而在下方的NtWriteVirtualMemory()已经被hook住了 jmp指令跳转到了其他的流程。
内核回调:
内核回调是杀软检测出敏感行为的一个重要手段,常用的由进程监控、线程监控、模块监控、对象监控、文件的过滤器、网络监控等等,如下图所示。
四、应对小手段
4.1花指令
花指令本质上是一段可有可无的代码,插入花指令后会使反汇编器出错,但不影响程序的实际执行。如下图,用xor/cmp/jz/jnz方式迷惑了x32dbg,使其不能正确显示出call eax:
4.2沙箱模拟器
对comodo类型沙箱,可以尝试使用不常见的系统API,如SetErrorMode;当我们自己的代码调用SetErrorMode并向其传入参数为1024,然后再次调用SetErrorMode,但传入不为1024的参数值,此时第二次调用SetErrorMode的返回值一定为第一次所设的参数值;尝试修改在用户态不能修改的寄存器,如CR0等;当文件区块数为0或大于96个时,部分杀软有可能会认为该PE文件已损坏,因为当在xp时最大支持的区段块为96个,超过就无法执行,目前vista开始最大支持65535个;区块数也可为0,即NumberOfSections值为NULL。另外AddressOfEntryPoint值也可为NULL,即表示入口点在偏移量在0x00处。
对微步、VT类型沙箱,可以从进程,有几个用来分析的进程检测,process name : AcrylicService.exe // DNS代理程序,用来检测DNS流量;
壁纸,微步沙箱的壁纸(桌面图标)每次是不变的
C:\Users\vbccsb\AppData\Roaming\Microsoft\Windows\Themes\TranscodedWallpaper.jpg //路径
1645643018 //壁纸文件的hash
系统用户名 ,每次运行沙箱的用户名不变 ,都是vbccsb
主机名:VBCCSB-PC
用户名:vbccsb_*
系统制作厂商和型号 , 正常PC的系统制作厂商都是电脑的牌子 DELL、LENEVO、ASUS
// 微步
System Manufacturer: System manufacturer
System Model: System manufacturer
性能指标,例如 内存大小、CPU核数等,现在很少见内存少于4G的PC
Total Physical Memory: 3,071 MB
4.3 特征码
常见的特征码有字节流、某段数据的校验和、文件的hash、模糊散列算法(针对变化较小的样本集合)、基于流程图调用图的散列算法(一般不用),这里以字节流特征码为例。
特征码定位是比较经典的技术了,主要用于静态文件查杀的对抗,常用的工具有myccl、virtest等,其工具原理在保留pe格式下不断抹去其中的数据(逐块暴露),最终得到一个免杀的文件,而被抹去的数据就是相应的特征码(还是分治算法那套)。
同一个样本在不同杀软下定位出来的特征码是有很大差别的,特征码可以在数据段、代码段、导入表、重定位表等地方出现,下面分别以cs生成的bin在wd和火绒作为例子:
在wd环境下定位出3处特征,两处在代码段一处在重定位表中,代码段第一处为FF 15call 调用了writeProcessMemory
第二处是在sub_10009708函数中,其中dword_10039888这个全局变量为被异或后的配置信息:
第三处特征码在LoadConfigurationDirectory载入配置表中:
在火绒下所定位到的特征,在data段和rdata。
4.4 混淆
1 | 混淆包含常见的字符串混淆和控制流混淆等,其中控制流混淆又分为控制流平坦化、虚假控制流和指令替换。常见控制流平坦化,就是在不改变源代码的功能前提下,将C或C++代码中的if、while、for、do等控制语句转换成switch分支语句。如下图所示: |
由上图可见左图的单一循环,在控制流平坦化后分成多个case代码块和一个入口块。前驱模块(case 2)主要是进行基本块的分发,分发通过改变switch变量来实现。后继模块(case3)也可用于更新switch变量的值,并跳转到switch开始处。
项目参考:https://github.com/obfuscator-llvm/obfuscator/tree/llvm-4.0
下图是加入混淆后的main函数,可见函数的流程已经被混淆。
-mllvm -sub -mllvm -fla -mllvm -split -mllvm -split_num=2
通过BeyondCompare观察得每次所生成的可执行文件中的代码段会发生明显差异(也可通过BIndiff观察):
4.5 替换敏感的API
1 | 通常我们会使用CreateThread去执行shellcode,目前我们可以利用某些函数中的callback填入需要执行的shellcode地址,利用其去执行shellcode。如SetTimer就是这种API函数,其位于user32.dll中,函数原型为: |
UINT_PTR SetTimer(
HWND hWnd, // 窗口句柄
UINT_PTR nIDEvent, // 定时器ID,多个定时器时,可以通过该ID判断是哪个定时器
UINT uElapse, // 时间间隔,单位为毫秒
TIMERPROC lpTimerFunc // 回调函数
);
我们可以在第四个参数(即回调函数)中填入shellcode地址;
更多的执行方式可以参考这个项目:https://github.com/S4R1N/AlternativeShellcodeExec
同样复制shellcode到内存中的操作可以使用不同的API,如LdapUTF8ToUnicode、UuidFromStringA,或者使用挂在pe节,使用系统对其自行加载,我们再执行。
4.6 Syscall对抗ntdll的hook
因为ntdll.dll是普通应用程序从3环进0环的必经之路,而通过hook ntdll中的敏感函数可以使得改程序的后续流程走到杀软程序,从而对其后续行为做相应的检测,常用的syscall项目有HellsGate、syswhipers。当程序使用syscall就像红色的箭头,直接到达syscall table,绕过了被hook所圈起来的ntdll。
4.7 分离加载对抗沙箱
分离加载(Installer、Code、Loader)的方式,这种三端分离的方式能更好的反沙箱,因为通常情况下只会上传Loader进沙箱,而Code是可以在伪装成bmp图片后另外存放的,Install将加密后的Core隐藏在注册表、UUID、WMI中,最后Loader在相应空间提取出Core后,再利用保存在自身中的Key将其解密,最后内存加载执行加载。
4.8 执行敏感行为后的操作
1 | 在执行CreateProcess(启动进程)\CreateRemoteThread(远程注入)或一些网络行为后,是我们需要对其进行处理的。我们通过openProcess打开其他线程后,再通过VirtualAllocEx、WriteProcessMemory写入相应的shellcode后,需要使用VirtualProtectEx将其内存属性设置为PAGE_NOACCESS(而杀软通常是不会扫描此属性的内存)。当在CreateRemoteThread创建注入时会触发相应的检测机制,所以我们在CreateRemoteThread在创建线程时使用挂起创建,即第六个参数为0x00000004,然后sleep休眠一段时间,待检测完后主动调用ResumeThread 恢复线程的执行。 |
参考项目:https://github.com/plackyhacker/Suspended-Thread-Injection/blob/main/injection.cs
六、免杀演示
6.1 shellcode框架免杀火绒、360演示
6.2 loader 免杀卡巴、wd演示
文章有很多待补充及实践的地方,如不同格式文件的特征码、特征码的存放文件及格式、杀软的攻击点等等。最后谢谢大家观看。
参考链接:
https://github.com/plackyhacker/Suspended-Thread-Injection
https://synzack.github.io/Blinding-EDR-On-Windows/
Antivirus Bypass
https://mp.weixin.qq.com/s/CY9RnIAn-la573BWrkufNQ
the shellcoders' handbook
RedCore - Moriarty
[培训]二进制漏洞攻防(第3期);满10人开班;模糊测试与工具使用二次开发;网络协议漏洞挖掘;Linux内核漏洞挖掘与利用;AOSP漏洞挖掘与利用;代码审计。
|
|
|---|---|
|
|
|
|
|
大佬见笑了 
|
|
|
|
|
|
|
|
|
|
|
|
nice! |
|
|
 hh
|
|
|
|
|
|
 鸡哥很久没发文章了,内力又增强不少。
|
|
|
依旧的菜 
|
|
|
|
|
|
|
|
|
|
|
|
就微软的套件和IDA而已
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
啥工具,有下载地址么 |
|
|
|
|
|
|
舒默哦
