Process Doppelgänging绕过大量杀软

cloud01

碰到这样的还是要靠启发。。

momng

想知道hips能否阻止？是否能过COMODO的最严格机制。

ccboxes

驭龙 发表于 2017-12-8 13:34
如果PPL技术都被过，基本上不用想别的能防住了，除非DG吗？那就不清楚了，文章没有提DG

DG也只不过是虚拟化加强的白名单机制，在代码运行前检查文件签名，阻止签名不受信任的文件中代码的加载，同时在代码加载后保护其不被篡改。

这个技术的强大之处在于在进程（一般是系统进程或某个可信进程）加载代码的过程中（而非DG保护的之前和之后）动态的替换文件为恶意文件，然后通过NTFS命令中的回滚在操作落实到磁盘之前取消操作。在DG看来，一切都是正常的。

黑暗的背叛者

momng 发表于 2017-12-9 11:31
想知道hips能否阻止？是否能过COMODO的最严格机制。

显然HIPS应该是不起作用的，避开了拦截点。简单的说就是往磁盘一个地方写入，然后注入进程把正常的模块内容替换掉，再还原写入操作。然后这个磁盘写入到还原的过程中杀软是无法访问的，也察觉不到进程注入的操作。除非内存快照比较数据，不然看不出来修改。

cloud01

禁止调试和直接访问磁盘能阻止吗？

kxmp

ccboxes 发表于 2017-12-9 12:09
DG也只不过是虚拟化加强的白名单机制，在代码运行前检查文件签名，阻止签名不受信任的文件中代码的加载， ...

真不能不说
这招简直能称作"大法"

kxmp

momng 发表于 2017-12-9 11:31
想知道hips能否阻止？是否能过COMODO的最严格机制。

如果运行之后 这个可信程序执行了不可信的所有操作你都可以拦截
那可以阻止.

kxmp

KK院长 发表于 2017-12-8 18:24
无文件攻击
“攻击的目的是让恶意软件在正常软件的进程中执行任意代码。
   我还是躲到火星吧，以 ...

文件肯定是有
这个大法利用的就是文件更新. 怎么能说是没文件.?

这种攻击只不过是无痕 但是文件还是有的
只不过是变成了另一种存在方式而已.

更新文件之前 如果应用程序 或者 系统 失败.
造成的后果可以是灾难性的.
你更新个系统文件. 哎呦系统卡了 怎么办? 系统文件损坏了咋办?
系统没卡 写入文件的这个程序卡了怎么办? 写入的正好是驱动怎么办?
驱动损坏了系统岂不是废了?

所以ntfs是很严密的系统
更新文件之前 要打开ntfs 事物处理模式
针对这个需要修改的文件 开启了处理模式之后
可以更新文件.
在更新文件之后 还必须要提交修改. 这里要注意的是 提交之前 文件已经被更新了.
这个是为了防止如果应用程序 或者系统卡掉 造成文件损坏的.
那么怎么防止这个损坏呢?
如果最后一步 提交修改上面没走到这个地方. ntfs会自动回复文件先前的状态.
也就是修改之前的状态.
因为如果内容修改完成 已经替提交了修改 这证明文件没有损坏. 因为程序没卡掉.
但是程序如果卡掉 那他一定走不到提交修改这个地方. 因为提交修改这个过程是在文件已经修改完成之后再来的确认.
一般程序卡掉 都是在更新文件的中间已经卡掉了 文件的修改都没做完.

这个攻击严格的讲 是类似白加黑的载入式攻击
而并非单纯把代码扔给谁谁谁.
当然不劫持模块 直接让你运行的正常exe变勒索也不是不可以...
咋用都可以的. 很灵活...
但是这种方式应该不叫注入吧.. 应该叫高端劫持才对..

就是让一个正常的文件变恶意文件
但是写入过程中你还没法扫描他. r0能不能扫我就不清楚了.....

这招运行代码的高明之处就是 文件更新的时候 是锁定状态 其他程序无法读取
而且是在提交修改之前直接运行这个代码. 所以文件是有. 不是没有.

ELOHIM

kxmp 发表于 2017-12-9 22:05
真不能不说
这招简直能称作"大法"

突然感觉你笑得有点那啥了。

kxmp

我感觉这个文章有散播谣言的嫌疑.

参考我21L 36L 38L

至于没法修复 这个也不好说
当初http.sys爆了漏洞 不照样修了...
那当初是不是也有人可以说 windows网络堆栈爆出了漏洞.
坏消息就是这个漏洞没法修复 因为他涉及到网络运行的底层机制.
我认为这个进程创建的问题 修应该是可以. 但是要看ms心情


而且你这个标题写的就是错的 原文没写注入攻击
Doppelgänging是德语 他的意思就是分身的意思.
意思就是进程分身. 这个进程看起来就是正常进程.
攻击完成之后 文件扫描都无效.
然而运行的这个程序 却是个分身.

这种手法的实现 就是文件型. 不是单纯的修改内存.
他是修改文件然后运行.

我认为这个如果是内存监控 如果足够强的话 应该可以拦住...
但是目前杀软的内存监控机制我也不清楚了...

比如安软检测内存 他能否在文件更新之前 直接把这个内存扫出来?
能的话 就可以拦住.
刚才vt扫了下 那个url 结果全白.
吓了我一跳 原来还要按下文件分析

内存监控这个东西真是值得思考呢.
他们测试的也没说如果运行之后 再来个内存扫描能不能抓住.
或者他们把内存监控全关了? 只测的文件监控? 那肯定没有可以抓出来的...
文章里面写的也模棱两可 只说主流安软全被过了 是默认配置背过了还是最nb全高开被过
还是定制的设置被过....