一、參考文章
https://www.ddosi.org/bypass-0/
二、靜態查殺
文件復合特征碼、內存特征碼
主要掃描的特征段有:hash、文件名、函數名、敏感字符串、敏感api等等。(特征api的繞過)
對於內存免殺:可經過多重shellcode加解密繞過(沒被殺軟識別的算法),或者利用白加黑,讓windows信任。
雲查殺:雲查殺的不同點在於它的病毒庫是放在服務器端的,而不是本地客戶端,意思是只要聯網病毒庫就會同步更新,這種病毒庫更加強大。
cobaltstrike的ReflectiveLoader函數:它是用來導出反射注入的dll,可以修改這個導出函數的名稱來進行繞過。
三、動態查殺
沙盒模擬特征:通過模擬計算機的環境執行目標文件再觀察特征行為。
監測點:系統服務、注冊表、組策略、防火牆、敏感程序、各種API(監控進程調用的api不止是api名稱,還包括api的調用順序、調用源、參數等等。)、文件夾。
繞過方法:
1、可以增加反沙箱代碼進行繞過
2、針對api可以通過syscall,在ring0層調用api
3、白加黑(讓Windows信任程序)
主動防御:殺毒軟件能分析並掃描到目標程序的行為,並根據預先設定的規則,判定是否應該進行清除操作。
四、監控技術
內存監控、監控文件的變動、郵件附件監控、網頁下載監控、行為防護監控
當發現內存中存在病毒的時候,就會主動報警;
監控所有進程;
監控讀取到內存中的⽂件;(文件讀取免殺)
監控讀取到內存的⽹絡數據;(流量免殺)
四、流量查殺
流量特征:網絡通信流量特征(cobaltstrike修改cs.profile)
結構特征:是否存在已知遠控的通訊結構(cobaltrike中beacon有sleep)
內容特征:通訊payload通訊特征
IP和域名:是否被拉黑
繞過方式:
1、tcp分段:指的是數據包在傳輸過程中切分后以小段傳輸(效果也不錯,但是網絡連接不好很容易斷掉)
2、內容加密:針對傳輸的內容,比如那些執行命令的字符串等等,加密混淆,加密還是不要用簡單的編碼,你簡單的base64編碼一下,殺軟、edr等還是可以檢測到,最好用非對稱加密
3、使用合法證書
五、總結
盜用一下作者的圖片:
