RedTeaming_主流杀软对抗之路-（33页）.pdf

1、Redteaming：主流杀软对抗之路ABOUT ME安全研究员红队攻防，杀软规避研究及武器化它们。木星安全实验室实验室负责人CompTIA Security+CISP-PTS CISAW CISP CDPSE 红队作战概览图研究背景红队攻防的必要因素杀软检测手段的不断升级目录静态免杀静态免杀动态免杀动态免杀自我保护自我保护Bypass之静态免杀Shellcode加密加密IAT导入地址表导入地址表混淆编译Shellcode加密Shellcode：16进制的机器码。例如：杀软查杀cobaltstrike,metasploit等知名远控通常是通过shellcode特征匹配来进行查杀。内存加载mim

2、ikatz，通常也会将mimikatz转为shellcode。Shellcode加密栅栏密码加密IAT导入地址表在PE结构中，存在一个IAT导入表，导入表中声明了这个PE文件会使用哪些API函数。定义MyAlloc函数指针 定义MyProtect函数指针IAT导入地址表动态调用IAT导入地址表未处理处理后混淆编译ADVobfuscatorhttps:/ 启发式扫描是通过分析指令出现的顺序，或 组合情况来决定文件是否恶意。API执行链Api间穿插其他干扰性操作延时模拟运算使用素数计算模拟延时行为免杀测试遍历ntdll.dll的导出函数找到操作码。使用我们的系统调用函数。系统调用AV/EDR ho

3、okAV/EDR解决方案通常会钩挂用户级Windows API以便确定所执行的代码是否为恶意代码系统调用Windows OS体系结构系统调用HellsGate：读取在主机上的ntdll.dll，动态找到系统调用，然后从自己的自定义实现中调用syscall。原：从内存读取ntdll.dll，用于查找和映射系统调用。现：从磁盘读取ntdll.dll，用于查找和映射系统调用。系统调用HellsGate创建具有相同结构的系统调用函数。寻找syscall操作码并将我们的自定义函数指向它们。http:/https:/ 通过设置DACL标志位，创建一个用户权限无法 结束的进程。自我保护AdjustTokenPrivileges此函数启用或禁用指定访问令牌中的特权。几乎所有需要令牌操作的特权操作都使用此API函数。RtlSetDaclSecurityDescriptor函数设置绝对格式安全描述符的DACL信息，或者如果安全描述符中已经存在DACL，则将其取代。自我保护TerminateProcess：终止指定进程及其所有的线程https:/ API函数TerminateProcess自我保护CreateremoteThread进程注入将shellcode注入到可能会带来麻烦的进程中，在目标进程中HOOK关键API。自我保护测试遍历ntdll.dll的导出函数找到操作码。使用我们的系统调用函数。