查看: 8800|回复: 58
收起左侧

[讨论] Process Doppelgänging绕过大量杀软

  [复制链接]
B100D1E55
发表于 2017-12-8 13:20:09 | 显示全部楼层 |阅读模式
本帖最后由 B100D1E55 于 2017-12-9 23:17 编辑

值得讨论一下?因为最近比较忙就不翻译了。估计不久后Freebuf就会出中文解说了,欢迎楼下补充

https://www.bleepingcomputer.com ... l-windows-versions/
下图中均为被绕过的杀软:


文章提到的其他一些相关的非常规攻击姿势:
AtomBombing:http://bobao.360.cn/learning/detail/3148.html
GhostHook: http://www.freebuf.com/news/138216.html
PROPagate: http://www.freebuf.com/news/153041.html

里面不少漏洞是难以修复的,至于安软怎么针对性防御……估计看内核技术吧,而且有一些估计是没法简单拦截(今次的漏洞也难以被修复)不过这里面一些手段在具体使用的时候仍有一些局限性,也不用过分担心。只希望这些对技术要求较高的洞别被封装成wannacry那种工具,否则“流氓会武术,谁也挡不住”

总之,数字世界里就算部署铜墙铁壁也没有绝对的安全,震网LNK漏洞都在随后又复活了2次,还有什么不可能的




本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 2人气 +2 收起 理由
KK院长 + 1 感谢支持,欢迎常来: )
fireherman + 1 版区有你更精彩: )

查看全部评分

驭龙
发表于 2017-12-8 13:26:21 | 显示全部楼层
本帖最后由 驭龙 于 2017-12-8 13:43 编辑

看原文以后,是之前是我多想了
fireherman
发表于 2017-12-8 13:30:01 | 显示全部楼层
The good news and the bad news

The good news is that "there are a lot of technical challenges" in making Process Doppelgänging work, and attackers need to know "a lot of undocumented details on process creation."
The bad news is that the attack "cannot be patched since it exploits fundamental features and the core design of the process loading mechanism in Windows."

前世咯……希望不要太快有……针对漏洞的Ransomware出来……要不然……又死一大片。
fireherman
发表于 2017-12-8 13:32:40 | 显示全部楼层
驭龙 发表于 2017-12-8 13:26
没想到PPL技术的WD和ESET在win10上都被注入,哎,不知注入的是用户进程还是内核进程,如果是内核进程,那真 ...



如果是内核进程……不知道HIPS能不能锁住(保护住)文件……

硬盘里xx个GB的……图图……

B100D1E55
 楼主| 发表于 2017-12-8 13:32:53 | 显示全部楼层
驭龙 发表于 2017-12-8 13:26
没想到PPL技术的WD和ESET在win10上都被注入,哎,不知注入的是用户进程还是内核进程,如果是内核进程,那真 ...

原文貌似没有讲到注入杀软进程?只是将一个能被查杀的payload用这种方法注入的时候能绕过监控
驭龙
发表于 2017-12-8 13:34:34 | 显示全部楼层
fireherman 发表于 2017-12-8 13:32
如果是内核进程……不知道HIPS能不能锁住(保护住)文件……

硬盘里xx个GB的……图图……
...

如果PPL技术都被过,基本上不用想别的能防住了,除非DG吗?那就不清楚了,文章没有提DG
驭龙
发表于 2017-12-8 13:40:04 | 显示全部楼层
本帖最后由 驭龙 于 2017-12-8 13:42 编辑
B100D1E55 发表于 2017-12-8 13:32
原文貌似没有讲到注入杀软进程?只是将一个能被查杀的payload用这种方法注入的时候能绕过监控

之前没看原文,看你标题,误会了。

这种注入的话,不知能不能绕过ESET的新pico进程监控模式
B100D1E55
 楼主| 发表于 2017-12-8 13:43:57 | 显示全部楼层
驭龙 发表于 2017-12-8 13:40
之前没看原文,看你标题,误会了。

这种注入的话,不知能不能绕过ESET的新pico进程监控模 ...

哦你说那个ver154的更新?我估计是不行的,因为这个本身是fileless attack,当然宿主进程的file ops应该会被监控到

我只是好奇当注入后病毒代码运行syscall,会不会被AMS扫描到。如果是常规进程常规虚拟内存域,新页的代码调用syscall就会被扫描,这个是注入后的防御。当然如果神不知鬼不觉注入到被缓存的内存页,那估计也是大悲剧
B100D1E55
 楼主| 发表于 2017-12-8 13:46:26 | 显示全部楼层
fireherman 发表于 2017-12-8 13:32
如果是内核进程……不知道HIPS能不能锁住(保护住)文件……

硬盘里xx个GB的……图图……
...

图图难道不是存在隔离网络的环境么
EnZhSTReLniKoVa
发表于 2017-12-8 13:47:02 | 显示全部楼层
B100D1E55 发表于 2017-12-8 13:43
哦你说那个ver154的更新?我估计是不行的,因为这个本身是fileless attack,当然宿主进程的file ops应该 ...

虽然 部分杀软能 抓到工具 但还是会被绕过
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-29 08:55 , Processed in 0.135469 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表