Process Doppelgänging绕过大量杀软

B100D1E55

kxmp 发表于 2017-12-9 22:54
我感觉这个文章有散播谣言的嫌疑.

参考我21L 36L 38L

有道理，应该是“劫持”

文件没commit到文件系统所以叫fileless也不为过吧

参考：https://www.youtube.com/watch?v=Cch8dvp836w

kxmp

B100D1E55 发表于 2017-12-9 23:25
有道理，应该是“劫持”

文件没commit到文件系统所以叫fileless也不为过吧

commit之前 文件已经成功写入了

B100D1E55

kxmp 发表于 2017-12-9 23:26
commit之前 文件已经成功写入了

基本而言这种transaction-based的运行机制，commit前都不算数（从概念上来说它就是没发生过），所以我认为他们那么说不为过。

此外感谢指出错误

kxmp

B100D1E55 发表于 2017-12-9 23:31
基本而言这种transaction-based的运行机制，commit前都不算数（从概念上来说它就是没发生过），所以我认 ...

我看了你这个视频
开挂啊开挂
他用了加密的文件 然后是用启动器运行这个程序的.....

ntfs这个机制 不是说你创建文件然后提交
这个攻击用的是更新文件 然后提交
所以说文件是已经写入了的 只不过还没给他来个标记.

视频演示他也不敢直接就用明文来劫持.....
文件夹里面是那个工具 旁边是个encrypted的文件...
这人自己还说什么 这个文件加密了 所以扫不出来
wd设置我也不清楚 前面他也说是可以过文件扫描 这毫无疑问.
那来个加密的文件 然后解密 载入到内存里面 这个内存扫描总可以把....
当然wd有没有内存扫描我也不知道.....

狩猎者

momng 发表于 2017-12-9 11:31
想知道hips能否阻止？是否能过COMODO的最严格机制。

照这说法怕是不行的了

QlaqCfan

BlackhatEU的PPT地址：https://www.blackhat.com/docs/eu-17/materials/eu-17-Liberman-Lost-In-Transaction-Process-Doppelganging.pdf
github也有人发了根据PPT来写的利用脚本（地址），但是作者说自己写的代码无法完整复现ppt上面的结果。例如：

You can not replace any file. If you try to replace C:\windows\system32\svchost.exe you will get "Access Denied". Yet in the black hat slide show they show replacing "svchost.exe", but after viewing the DEMO image in the slide show it is clear they didn't replace svchost.exe in the demo but Vmmap.exe from sysinternals.
This techinque will not bypass all AntiViruses because of the use of NtCreateThreadEx, which is equal to CreateRemoteThread. An AntiVirus may monitor the creation of remote thread thus detecting our Doppelgänging.

所以作者对PPT还是有点疑问的，我看了一下PPT，思路的确很骚气但是操作也的确够刁够难，所以对普通人构不成威胁的，毕竟你也不可能被真的定向APT不是么：P
还有所谓的不能修复算是有歧义吧，从源头彻底修复需要动太多，但是如果拦截的话并不是很具有难度。只是封堵总是可以被突破的，毕竟不是什么好办法就是了。

（PS：最近kafan首页好多关于安全漏洞的帖子，之前还还看见了ME那个洞有人讨论。但是貌似理解的有点偏差，想发个帖子聊一下写到一半就懒癌了23333可能是因为国内IT类媒体写安全类信息着实有点233给人造成误解了吧，网络安全类媒体例如FB这方面报道相对好一些。只是给资讯区各位老哥的建议，XD）

B100D1E55

QlaqCfan 发表于 2017-12-11 01:29
BlackhatEU的PPT地址：https://www.blackhat.com/docs/eu-17/materials/eu-17-Liberman-Lost-In-Transactio ...

ME那个漏洞一直没去看相关资料，你指的是这个帖子的讨论？https://bbs.kafan.cn/thread-2110691-1-1.html

如果可以的话不妨分享一下你的看法，让大家一起学习一下

ccboxes

B100D1E55 发表于 2017-12-11 01:38
ME那个漏洞一直没去看相关资料，你指的是这个帖子的讨论？https://bbs.kafan.cn/thread-2110691-1 ...

这个漏洞既被夸大了，也被小瞧了。

首先澄清一点媒体胡咧咧的东西。ME并不是所谓的“隐藏后门”，正相反，AMT技术可以实现关机、远程状态下安装、启动系统等功能，是Intel大力宣传并广泛用于企业维护的。很多网吧就在使用ME来管理机器。其次，ME是与BIOS的关系有点像主板BIOS与显卡BIOS之间的关系，其使用的内存是从主内存上分配的，而ME与集显一样也只能访问自己的保留内存。再次，ME并不能控制CPU，也不是所谓的Ring-3权限，Ring权限架构只存在于X86中。ME在南桥中，有自己的处理器（通常是ARM），与CPU相互独立，相互不能干涉。同时，ME在操作系统启动后就会出让硬件，不再能访问硬盘等，在操作系统启动后如果ME需要网络连接或者访问显示器等，是通过系统内被监控的ME驱动来实现的。

目前发现的这四个漏洞都是缓冲区溢出，有三个导致可以运行任意代码。有一个导致访问特权内容，单凭这一点来看的确非常严重。但利用ME的漏洞非常困难，有三个需要直接物理访问，有一个需要ME管理员密码（ME的网络认证没有被发现任何漏洞）。同时，依靠这四个漏洞尝试修改ME固件植入bootkit也是不可能的，ME除存储固件本身的ROM外没有任何非易失储存器（意味着ME无法保存任何设置与代码），并受到硬件级的数字签名保护（事实上TPM就是ME提供的），任何篡改都将导致启动失败。

但这也不是掉以轻心的理由，很多辟谣文章说因为利用困难，所以影响不大，但在没有部署固件写保护（大部分使用UEFI的新电脑都已经部署）的电脑上，不需要物理访问也可以利用这四个漏洞，这也是各大厂陆续推出BIOS更新的原因。总之这个漏洞比较严重，但没有到媒体渲染的程度。

ccboxes

QlaqCfan 发表于 2017-12-11 01:29
BlackhatEU的PPT地址：https://www.blackhat.com/docs/eu-17/materials/eu-17-Liberman-Lost-In-Transactio ...

实际上我怀疑所谓的Bypass最多只是绕过了漏洞防护与文件扫描，即使成功替换了某个程序，仍然会受到行为分析、或者内存扫描的监控。个人认为这个东西最大的意义在于绕过基于白名单的防护。

QlaqCfan

ccboxes 发表于 2017-12-11 09:50
实际上我怀疑所谓的Bypass最多只是绕过了漏洞防护与文件扫描，即使成功替换了某个程序，仍然会受到行为分 ...

实际上这个东西可以被定向防护，毕竟这个bypass必不可少的需要磁盘底层进行操作。这一步骤是可以被监测并拦截的。这个东西比较适用于通过RCE打入系统或者其他payload入侵系统之后进行隐蔽权限维持。所以更适用于APT吧