蓝队训练程序生成器
前言:红队不应该陷入琐碎的陷阱
郑重声明:本程序旨在为正规的RT同胞们提供便捷的帮助,严禁黑灰色产业利用和依靠免杀赚取流量、虚荣心等行为。一经发现将永不更新!!!
根据蓝队对红队样本的狩猎过程,可以定位到以下几种特征:
- ETW 暴露可疑的 Windows API 调用,例如打开 LSASS 句柄、修改/读取远程进程内存
- 网络流量异常,数据包级别的特殊性
- 从 Office 宏中提取的可疑 VBA 保留字和函数
- 对敏感文件/注册表键的可疑访问
- 特定于文件格式的异常:PE 标头操作、奇怪的 VBA 代码
- HIPS 风格的行为规则,触发不常见的系统范围的活动
- EDR 捕获父子层次结构与现在明显存在的差异
目前网络上找到的各式加载器等工具,都已经被各大安全厂商记录特征,这无疑会给RT添加诸多不必要的麻烦。从优秀的掩日和遮天项目中我们可以发现,最初的开源是造成这些项目快速死亡的原因,并且我觉得Golang并不适合来制作加载器这种东西,一是具有明显的特征,二是体积很庞大,我觉得超过1MB的文件就属于巨大。python更是如此,而powershell的我在之前的文章有提到过如何规避EDR的检测。
一个优秀的EDR对抗程序所应该有的功能,我觉得有以下这些:
- Shellcode加密
- 减少熵
- 规避沙箱
- 导入表混淆
- 禁用 Windows 事件跟踪 (ETW)
- 规避常见的恶意 API 调用模式
- 直接系统调用并规避“系统调用标记”
- unhook
ntdll.dll - 欺骗线程调用堆栈
- 内存加密
蓝队训练程序生成器 是根据 https://github.com/knownsec/shellcodeloader 的框架进行的二开,因为我实在是太烂了,效果好就行不追求别的。这里延续采用了这个项目的shellcode加密模式,后期可能会对整个框架进行大改刀和重构。重写了原本的权限维持的方法(这里采用了计划任务的方式),添加了修补Etw的功能,重写了反沙箱功能(自己在虚拟机测试请不要开启此功能),目前先公开一个x64的加载模块,用来给各位师傅测试,并提供一些宝贵的意见。为了保障长久有效,请给各位师傅不要将 生成的程序 上传到VT和云沙箱等地方(虽然我知道有些人不会听),如果第一个测试模块 被记录的过快的话,将会影响遐想公开的积极性。本程序因为是二开的,所以也不会开源,如果介意的可以断网运行,或者不使用本工具。
如果需要测试效果可以使用antiscan.me平台,他不会和云厂商共享你的样本。
在测试中初代版本和测试模块 新的心跳 的生成文件测试结果如下:
动态的话遐想测试了KES(卡巴斯基EDR),Defender,火绒,和国产之光某数字。全程静默无提示,这里需要注意开启权限维持的话需要UAC启动该程序,遐想并不建议开启此功能。
后期按照我上面的所说的EDR对抗来添加新的功能和模块。比如unhook等功能。