一种让攻击者能够直接在内存中执行恶意代码的复杂技术正逐渐兴起,这对现代的端点检测与响应(EDR)解决方案构成了重大挑战。
这种方法涉及内存中的可移植可执行文件(PE)加载器,能让威胁行为者在一个已受信任的进程中运行可执行文件,从而有效绕过主要监控写入磁盘文件的安全检查。
据化名G3tSyst3m的用户称,该技术凸显了某些安全态势中的一个关键盲点,使得在获得初始访问权限后,能够秘密部署次级有效载荷。
这种“无文件”攻击向量特别危险,因为它在雷达监测之下运作。端点检测与响应(EDR)解决方案可能会验证并批准某个初始应用程序,认为其可以安全运行。
然而,一旦该可信进程处于活动状态,它就可能被操纵,在自身的内存空间内下载并执行另一个可执行文件,例如远程访问木马或信息窃取程序。
由于恶意可执行文件从未接触过文件系统,依赖文件扫描和基于磁盘的启发式方法的传统 antivirus 和EDR工具可能无法检测到这种威胁。
利用内存中的PE加载器
G3tSyst3m补充道,这种攻击首先利用合法进程从远程来源(如GitHub仓库)下载一个PE文件。
该代码使用InternetOpenUrlA和InternetReadFile等标准Windows API来获取可执行文件,并将其存储在内存缓冲区中。
这一初始步骤常被误认为是无害的网络活动,使得有效载荷能够被偷偷传入目标系统而不触发警报。一旦PE文件以字节数组的形式存在于内存中,加载器就会精心重建它以执行。
这一重建过程手动模拟了Windows操作系统自身加载程序的功能。从宏观层面来看,加载程序会执行几个关键步骤:
- 解析PE头:它会读取下载文件的DOS头和NT头,以了解其结构,包括其节区和依赖项。
- 分配内存:它使用
VirtualAlloc在宿主进程中保留一块新的内存块,以映射可执行镜像。 - 映射区块:加载器会根据虚拟地址,将缓冲区中的PE头和区块(例如用于代码的
.text以及用于变量的.data)复制到新分配的内存空间中。 - 解析导入项:它会加载所有所需的动态链接库(DLL),并解析该可执行文件(PE)运行所需的外部函数地址。这一过程通过
LoadLibraryA和GetProcAddress来完成。 - 应用重定位:它会调整代码中任何硬编码的地址,以确保它们指向内存中的正确位置。
G3tSyst3m表示,在成功映射PE文件并解析其依赖项后,最后的步骤包括调整内存权限和触发执行。
加载程序使用VirtualProtect为每个节设置适当的权限,例如,将代码节标记为可执行,将数据节标记为可读/可写。
这与合法加载的程序的行为相符,并且对于代码在不导致进程崩溃的情况下运行至关重要。在内存准备就绪后,加载器只需调用PE文件的入口点,即可启动恶意代码。
这种方法在红队演练中已被证明是有效的,并且据观察能够绕过主流的终端检测与响应解决方案,如微软端点防御(XDR)和Sophos XDR。
虽然并非完全万无一失,尤其是在面对先进的人工智能和基于机器学习的检测时——这类检测能够长期标记异常的进程行为,但定制构建的PE加载器仍然是规避检测的有效工具。
该技术强调了安全解决方案需要能够进行深度内存检查和行为分析,而不仅仅依赖于基于文件的威胁情报。
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
