成人免费xxxxx在线视频软件_久久精品久久久_亚洲国产精品久久久_天天色天天色_亚洲人成一区_欧美一级欧美三级在线观看

檢測Cobalt Strike只使用40行代碼

作者:huoji120
安全 網(wǎng)站安全
無文件落地的木馬主要是一段可以自定位的shellcode組成,特點是沒有文件,可以附加到任何進(jìn)程里面執(zhí)行。

無文件落地的木馬主要是一段可以自定位的shellcode組成,特點是沒有文件,可以附加到任何進(jìn)程里面執(zhí)行。一旦特征碼被捕獲甚至是只需要xor一次就能改變特征碼,由于傳統(tǒng)安全軟件是基于文件檢測的,對目前越來越多的無文件落地木馬檢查效果差。

[[416030]]

基于內(nèi)存行為特征的檢測方式,可以通過檢測執(zhí)行代碼是否在正常文件鏡像區(qū)段內(nèi)去識別是否是無文件木馬.由于cobaltstrike等無文件木馬區(qū)段所在的是private內(nèi)存,所以在執(zhí)行l(wèi)oadimage回調(diào)的時候可以通過堆棧回溯快速確認(rèn)是否是無文件木馬。

檢測只需要40行代碼:

  • 在loadimagecallback上做堆棧回溯
  • 發(fā)現(xiàn)是private區(qū)域的內(nèi)存并且是excute權(quán)限的code在加載dll,極有可能,非常有可能是無文件木馬或者是shellcode在運(yùn)行:
    1. void LoadImageNotify(PUNICODE_STRING pFullImageName, HANDLE pProcessId, PIMAGE_INFO pImageInfo) 
    3.     UNREFERENCED_PARAMETER(pFullImageName); 
    4.     UNREFERENCED_PARAMETER(pProcessId); 
    5.     UNREFERENCED_PARAMETER(pImageInfo); 
    6.     if (KeGetCurrentIrql() != PASSIVE_LEVEL) 
    7.         return; 
    8.     if (PsGetCurrentProcessId() != (HANDLE)4 && PsGetCurrentProcessId() != (HANDLE)0) { 
    9.         if (WalkStack(10) == false) { 
    10.  
    11.             DebugPrint("[!!!] CobaltStrike Shellcode Detected Process Name: %s\n", PsGetProcessImageFileName(PsGetCurrentProcess())); 
    12.             ZwTerminateProcess(NtCurrentProcess(), 0); 
    13.             return; 
    14.         } 
    15.     } 
    16.     return; 

堆?;厮荩?/p> 

  1. bool WalkStack(int pHeight)  
  2.  
  3. bool bResult = true 
  4. PVOID dwStackWalkAddress[STACK_WALK_WEIGHT] = { 0 };  
  5. unsigned __int64 iWalkChainCount = RtlWalkFrameChain(dwStackWalkAddress, STACK_WALK_WEIGHT, 1);  
  6. int iWalkLimit = 0 
  7. for (unsigned __int64 i = iWalkChainCount; i > 0; i--)  
  8.  
  9. if (iWalkLimit > pHeight)  
  10. break;  
  11. iWalkLimit++;  
  12. if (CheckStackVAD((PVOID)dwStackWalkAddress[i])) {  
  13. DebugPrint("height: %d address %p \n", i, dwStackWalkAddress[i]);  
  14. bResult = false 
  15. break;  
  16.  
  17.  
  18. return bResult;  

使用:

編譯好驅(qū)動,加載驅(qū)動,之后運(yùn)行測試看看:

普通生成(x32與x64)測試:

基于VirtualAlloc的C代碼測試:

測試結(jié)果:

基于powershell的測試:

基于python的測試:

測試結(jié)果:

弊端:

目前已知的ngentask.exe、sdiagnhost.exe服務(wù)會觸發(fā)這個檢測規(guī)則(看樣子是為了執(zhí)行一些更新服務(wù)從微軟服務(wù)端下載了一些shellcode之類的去運(yùn)行).如果后續(xù)優(yōu)化則需要做一個數(shù)字簽名校驗等給這些特殊的進(jìn)程進(jìn)行加白操作.這是工程問題,不是這個demo的問題

一如既往的 github:https://github.com/huoji120/CobaltStrikeDetected

責(zé)任編輯:趙寧寧 來源: FreeBuf
木馬無文件Cobalt Strike
相關(guān)推薦

2013-11-26 10:12:57

2013-11-26 10:48:12

2013-08-15 17:32:51

2023-09-27 07:57:54

2022-08-30 10:06:34

網(wǎng)絡(luò)安全黑客網(wǎng)絡(luò)攻擊

2025-03-11 13:33:09

2021-08-13 16:05:26

僵尸網(wǎng)絡(luò)漏洞網(wǎng)絡(luò)攻擊

2022-10-08 06:14:36

Sliver工具箱惡意攻擊

2022-06-16 11:02:21

漏洞攻擊

2022-04-15 08:07:21

ReactDiff算法

2017-07-24 15:06:02

代碼人臉識別實踐

2021-09-17 16:28:10

Linux系統(tǒng)攻擊滲透測試

2018-01-23 09:17:22

Python人臉識別

2023-02-07 13:42:44

代碼實現(xiàn)并發(fā)

2020-02-28 15:33:12

代碼人工智能檢測

2017-03-28 21:03:35

代碼React.js

2020-08-21 13:40:17

Python代碼人體膚色

2020-08-24 15:49:28

代碼bug出錯

2022-09-25 23:10:53

Python數(shù)據(jù)集機(jī)器學(xué)習(xí)

2012-07-23 09:58:50

代碼程序員
點贊
收藏

51CTO技術(shù)棧公眾號

主站蜘蛛池模板: 野狼在线社区2017入口 | 午夜不卡福利视频 | 欧美在线一区二区三区四区 | 在线免费亚洲视频 | 成人不卡一区二区 | 欧美一区二区三区在线看 | 久久精品国产精品青草 | 成人免费视频久久 | 福利精品在线观看 | 日韩精彩视频 | 在线成人免费视频 | 神马久久av | 国产精品影视在线观看 | 午夜精品三区 | 91视视频在线观看入口直接观看 | 99精品国产成人一区二区 | 成人精品毛片 | 国产福利视频 | 欧美八区 | 色久五月| 国产精品久久久久久av公交车 | 成人在线精品视频 | 成人二区| 欧美中文字幕在线 | 欧美亚洲高清 | 久久久123 | 精品福利一区 | 日韩欧美在线观看视频网站 | 欧美一级毛片在线播放 | 国产精品九九九 | 国产精品久久久久一区二区三区 | 国产在线观看一区二区三区 | 成人黄页在线观看 | 国产精品欧美一区二区三区 | 色综合视频 | 成人网址在线观看 | 成人在线视频一区 | 久久一热 | 日韩中文一区二区三区 | 国内久久 | 日韩免费一区 |