好久没更了,今天想起来更新了😋😋😋😋
目录
1.AV && EDR
2.Perfect Syscall??
3.Truly Perfect ???
在开始之前先来展示一下这次的免杀效果
1.AV && EDR
360
天擎EDR
Windows Defender
赛门铁克EDR
卡巴斯基EDR(30Minutes内未被杀,后续未测)
Trelix EDR
2.Perfect Syscall??
自从syscall出来到现在也算是有一段的时间了,但是还是公认的在三环比较好用来Bypassedr的一种手法(相比起patch NTDLL).
像地狱之门,天堂之门,TartarusGate这种直接系统调用,好是挺好,但是有个东西叫做栈回溯
当我们call完之后,RIP会直接返回到我们的主程序,这就是一个"特征",有一些国外的EDR存在栈回溯功能,当扫描到你的程序存在这样的特征的时候,可能会对你的程序记录,或者是直接把你杀掉!
:那这咋办
于是我们的间接系统调用就出来了!!!
通过Jmp去syscall的地址,我们的调用链会比较完整!!
于是我们的程序就是这样的
这种在github也是有很多项目的,像syswhisper等
但是其实还是有一个问题!! 我们间接系统调用不就是为了让我们的程序更像一个正常的api调用吗,但是正常上会有人直接去调用NT的函数吗????
好的,GPT告诉我们不会,那我们能不能让这个程序既是syscall(绕过三环API),又能调用链更加完整呢???
: 答案是有,不然我怎么敢叫做 "Perfect Call"呢???
思路如下:
在间接系统调用的前提下,我们通过Inline-Hook挂钩一个三环的API,然后让他去进行Indirect-Syscall,这样我们的调用链看起来将会非常完整!!!!
这样就能达到一个这样的效果(算不算是Perfect Call呢???😋😋)
事实上也是可以,但是这里我就不放代码了,可以展示部分,核心就在那个GetSystemTime,其实你换一个api也可以,只要不是被hook的就行(或者说换一个非敏感API)
3.Truly Perfect ???
其实调用链这么完整了,他就无敌了吗???
:肯定不是啊!!!
- 首先,就算你的调用链这么完整了,但是你调用的api和作用不符合啊(调用一个API完成了所有的事情)
- 其次,你的行为,就算你上线了,遇到像赛门铁克这种,你shell whoami 一下,你的beacon就直接没掉了
- 然后,也是最重要的!!! 你的线程调用栈有问题,或者说你的堆栈有问题!
正常的线程调用栈是这样的
但是你的cs呢???
你这个两个地址是什么鬼,我们直接定位去这块内存
很明显,就是反射dll和loader的产物,就算你内存进行加密,但是你的线程调用栈还是不完整,这时候就要用到一个比较强大的技术 "堆栈欺骗" !! Spoof Call
Tips最后补充一下,为什么我一直都是用的EDR或者AV,因为我绕不过XDR啊!!
XDR是最强悍,最顶级,最强大的存在(比起EDR) 就拿 Cortex XDR来看
用CS根本存在对抗的可能,而且上面的卡巴也是(持久化基本上不太可能,还是换C2吧!)
