Process Doppelgänging绕过大量杀软

QlaqCfan

B100D1E55 发表于 2017-12-11 01:38
ME那个漏洞一直没去看相关资料，你指的是这个帖子的讨论？https://bbs.kafan.cn/thread-2110691-1 ...

嗯，写了一个帖子但是写到一半删了。原因首先需要写好多。。其次需要斟酌语言，毕竟我只是有一些反对意见。如果用词不当让人感觉是装逼造成帖子下面花式撕逼的话就很没意思了。。。所以想了想就没有发。只是看到这个帖子回个帖顺嘴说了一句。

驭龙

QlaqCfan 发表于 2017-12-11 22:55
嗯，写了一个帖子但是写到一半删了。原因首先需要写好多。。其次需要斟酌语言，毕竟我只是有一些反对意见 ...

这个怪我，引发的讨论

海珊瑚

怎么解决?入库?

xjq2510

难道不是存在隔离网络的环境

千宫纱

也就是说鼓捣了半天，我大毛豆也无力防住么？

欧阳宣

按我浅显的理解，这整个攻击都发生在写入文件层面，那躲过了文件监控，释放到内存后，主防还能干活吧

NTFS协议有打补丁这一说么

kxmp

欧阳宣 发表于 2017-12-15 09:49
按我浅显的理解，这整个攻击都发生在写入文件层面，那躲过了文件监控，释放到内存后，主防还能干活吧

NT ...

他有启动器
加载加密的payloard
启动器和payload还分开的.... 合并应该也可以..


你运行了一个白加黑 还没拦截住黑dll载入
这个代码已经运行 而且你exe还是白的. 比如ie 资源管理器.
那你能拦住这个么

ccboxes

kxmp 发表于 2017-12-15 17:46
他有启动器
加载加密的payloard
启动器和payload还分开的.... 合并应该也可以..

远没你说的这么神。

这个东西本质还是修改要注入的程序，只是改到一半取消，也就是说必须要获得对应文件写入权限才行。你要是想用这种方法注入IE或者explorer之类的系统文件，启动器必须要有System权限（管理员权限不行）。同时这种方法并不能注入已经存在的进程，必须新建一个进程。

在安软视角一个未知程序在提权后申请低级磁盘访问，然后启动一个系统进程作子进程，已经足够可疑了。46楼也提到报告里也没有选择注入系统进程，而是挑了一个普通程序，而其他人试图利用这种方式注入Svohost失败了，提示拒绝访问。

所以这种注入方式局限性其实很大。

kxmp

ccboxes 发表于 2017-12-15 20:34
远没你说的这么神。

这个东西本质还是修改要注入的程序，只是改到一半取消，也就是说必须要获得对应文 ...

还真是这样呢 我怎么忘了trustedinstaller......

但是如果他取得所有权应该就可以了....