EDR的梦魇：Storm-0978使用新型内核注入技术“Step Bear”

显示全部楼层 · 发表于 2024-4-23 15:37:01

https://ti.qianxin.com/blog/arti ... nique-Step-Bear-CN/

奇安信学坏了，ioc不直接写还得问他们要

显示全部楼层 · 发表于 2024-4-23 16:17:48

这不Direct System Calls吗

显示全部楼层 · 发表于 2024-4-23 17:03:29

增加一些EDR的监控点即可。

显示全部楼层 · 发表于 2024-4-23 17:31:55

wowocock 发表于 2024-4-23 17:03
增加一些EDR的监控点即可。

这种注入，带核晶的360能不能拦住

显示全部楼层 · 发表于 2024-4-23 17:34:51

DisaPDB 发表于 2024-4-23 16:17
这不Direct System Calls吗

这种注入也不是不能检测，内存检测也能扫出来，为什么我觉得那些用来绕反作弊的无痕注入都比这个靠谱

显示全部楼层 · 发表于 2024-4-23 17:37:09

00006666 发表于 2024-4-23 17:31
这种注入，带核晶的360能不能拦住

EPT Hook是能做到在SSDT上挂钩的吧，理论上来讲应该无视直接调用才对
绕反作弊的也很多都是用上VT了

显示全部楼层 · 发表于 2024-4-23 17:39:29

DisaPDB 发表于 2024-4-23 17:37
EPT Hook是能做到在SSDT上挂钩的吧，理论上来讲应该无视直接调用才对
绕反作弊的也很多都是用上VT了

VT会被占坑的，那种绕反作弊的无痕注入技术不用VT，不过要用驱动，注入成功后模块扫不出来，反作弊会扫描模块

显示全部楼层 · 发表于 2024-4-23 17:43:38

00006666 发表于 2024-4-23 17:39
VT会被占坑的，那种绕反作弊的无痕注入技术不用VT，不过要用驱动，注入成功后模块扫不出来，反作弊会扫描 ...

有可能是利用自删除、清空PiDDBlock、PiDDBCacheTable以及KernelHashBucketList用来隐藏驱动加载过的痕迹
比如说kdnapper

显示全部楼层 · 发表于 2024-4-23 17:47:10

DisaPDB 发表于 2024-4-23 17:43
有可能是利用自删除、清空PiDDBlock、PiDDBCacheTable以及KernelHashBucketList用来隐藏驱动加载过的痕迹 ...

你只要内存加载过驱动就能被监控到。当然可以用内核漏洞来加载。有些一直没公开出来自己偷偷用，嘿嘿。

显示全部楼层 · 发表于 2024-4-23 17:48:58

00006666 发表于 2024-4-23 17:31
这种注入，带核晶的360能不能拦住

只要经过SSDT， SHADOW SSDT的都能监控。

[其他相关] EDR的梦魇：Storm-0978使用新型内核注入技术“Step Bear”