基于一线作战视角的EDR对抗研究-苏大江-终稿.pdf

《基于一线作战视角的EDR对抗研究-苏大江-终稿.pdf》由会员分享，可在线阅读，更多相关《基于一线作战视角的EDR对抗研究-苏大江-终稿.pdf（30页珍藏版）》请在三个皮匠报告上搜索。

1、基于一线作战视角的现代EDR对抗研究苏大江 微步在线红队业务线负责人网络安全的本质在对抗，对抗的本质在攻防两端能力较量。Defenders think in lists.Attackers think in graphs.Attackers win.微步红队业务线负责人前美团蓝军技术负责人八年一线红队实战经验关于我01EDR原理分析一线作战视角0203对抗研究下一代绕过技术04EDR原理分析01.EDR是什么？有什么功能？5功能定义目的终端威胁检测与响应技术（Endpoint Detetion And Response，EDR）是一种新型的、智能化和快速迅捷的主动防御技术，该技术遵循Gartn

2、er“预测、防护、检测和响应”的技术体系，作用贯穿安全事件发生的全过程。EDR实时监测终端上发生的各类行为，采集终端运行状态，在后端通过大数据安全分析、机器学习、沙箱分析、行为分析、机器学习等技术，提供深度持续监控、威胁检测、高级威胁分析、调查取证、事件响应处置、追踪溯源等功能。第一时间检测并发现恶意活动，包括已知和未知威胁，并快速智能地做出响应，全面赋予终端主动、积极的安全防御能力。EDR架构设计分析5端侧AGENT后台服务网络连接通信协议检测规则分析准备工作5Windows内核在分析EDR的工作原理之前，我们需要对Windows内核有一个基本的了解。在Windows体系结构中，有两种模式分

3、别是用户模式（Ring3）和内核模式（Ring0）。拆分的原因是为了保护关键的Windows功能不被用户或用户态应用程序篡改。如果用户能够直接修改windows内核，将会带来巨大的安全隐患，如果关键功能被篡改，则可能会导致关键错误并导致系统崩溃。分析准备工作5PatchGuardPatchGuard是Windows Vista的内核保护系统，防止任何非授权软件试图“修改”Windows内核，作用是有效防止内核模式驱动改动。PatchGuard能够有效防止内核模式驱动改动或替换Windows内核的任何内容，第三方软件将无法再给Windows Vista内核添加任何“补丁”。此功能把大部分杀毒软件

4、和EDR挤出内核hook。SYSCALL系统直接调用与Linux类似，每个系统调用都有一个代表它的特定数字。该数字表示系统服务调度表（SSDT）中的一个条目，该表是内核中的一个表，其中包含对各种内核级功能的各种引用。每个命名的本机API都有一个匹配的syscall编号，该编号具有相应的SSDT条目。分析准备工作5Windows驱动很多情况下，应用程序需要访问内核中受保护的数据，需要使用相应的驱动程序。驱动程序有不同的类型，例如硬件驱动和软件驱动。大多数EDR都加载了驱动，以便访问内核，同时提高对用户态进程的可见性。虽然驱动程序可以在内核模式下运行，但它们仍然受到PatchGuard的限制，他们

5、无法在不使系统崩溃的情况下修补受保护的内存。内核回调内核回调可以让驱动程序可以注册“回调”，并在传递特定操作时发出通知，内核回调不会对基础Windows内核进行任何修改。这些回调的常见实现是PsSetCreateProcessNotifyRoutine（Ex），经典的进程信息过滤器。EDR为了“可见性”做了哪些操作？7内核回调DLL注入（hooking/patching）重定向执行流EDR获取“可见性”-内核回调操作5通过内核回调对进程信息进行过滤和流程牵引EDR获取“可见性”-DLL注入操作（HOOK）5PatchGuard导致只能在用户态获取信息EDR获取“可见性”-修改执行流5通过修改函

6、数执行流程达到检查参数、修改参数、改变程序执行流程等目的一线作战视角02.一线作战视角5红队作战的目的是什么？无感隐匿完成任务拿到关键靶标获取关键数据进行EDR对抗的目的是什么？实现在终端侧的无感知、弱感知 防止告警阻断 保证进一步深入攻击对抗研究03.架构设计中的对抗分析5网络层面对抗Agent生存对抗通信协议对抗1、为了稳定性、兼容业务和客户环境，在用户态运行。-对抗手段：直接kill掉进程即可。2、高权限情况下运行。-对抗手段：提权kill，通过BYPASSUAC、内核漏洞、加驱动、绕过KPP（EPTHOOK