.png.c9b8f3e9eda461da3c0e9ca5ff8c6888.png)
逃避Edr是简单的方法,没有触摸任何API的钩子。
理论
我注意到大多数EDR无法扫描脚本文件,仅将其视为文本文件。尽管这对他们来说可能是不幸的,但这是我们获利的机会。
诸如居住在内存或线程注入中的浮华方法受到大量监控。如果没有有效证书授权签名的二进制,几乎不可能执行。
输入Byosi(带上自己的脚本解释器)。每个脚本解释器都由其创建者签名,每个证书都是有效的。在实时环境中进行的测试显示出令人惊讶的结果:该存储库的高度签名的PHP脚本不仅在由CrowdStrike和Trellix监控的系统上运行,而且还建立了外部连接而没有触发任何EDR检测。 EDR通常会忽略脚本文件,而是专注于植入物交付的二进制文件。它们配置为检测二进制文件中的高熵或可疑段,而不是简单的脚本。
这种攻击方法利用了这一监督,以获得可观的利润。 Powershell脚本的步骤反映了开发人员首次进入环境时可能会做什么。值得注意的是,只有四行Powershell代码完全逃避EDR检测,而Defender/AMSI也对此视而不见。除了有效性外,Github担任可信赖的部位。
这个脚本做什么
PowerShell脚本通过四个简单步骤(技术上3):实现EDR/AV逃避
1.)它为Windows获取PHP档案,并将其提取到“ C: \ temp”中的名为“ php”的新目录中。
2.)然后该脚本继续获取Impulse PHP脚本或Shell,将其保存在相同的'C: \ temp \ php'目录中。
3.)之后,它使用白色PHP二进制(将二进制的大多数限制豁免将阻止二进制限制的大多数限制,这将阻止二进制运行。特别有趣的是,如果我的内存正确地为我服务,Sentinel One无法扫描PHP文件类型。因此,请随时让您的想象力疯狂。
免责声明。
我对滥用这一点绝不负责。这个问题是EDR保护方面的主要盲点,我只是将其引起所有人的注意。
感谢节
非常感谢@IM4X5YN74X亲切地称其为Byosi的名字,并帮助ENV测试将这种攻击方法带入生活。
编辑
似乎MS Defender现在正将PHP脚本标记为恶意,但仍然完全允许PowerShell脚本完全执行。因此,修改PHP脚本。
编辑
Hello Sentinel One :)可能要确保您制作未嵌入的链接。