本文来自：Maelstrom: EDR Kernel Callbacks, Hooks, and Call Stack[1]，版权归原作者所有。

译者从事HIDS/HIPS等领域，与EDR安全产品场景类似。从本篇文章中，也学到了Windows系统上的HOOK知识，了解了攻击手法，故翻译整理出来，分享给大家。本文大部分翻译由OpenAI Translator实现，阅读起来更加流畅。

为了回顾一下这个系列，我们从总体上看了一个命令和控制服务器（C2）的高级目的和意图，到设计和实现我们第一个植入物和服务器。如果你一直在跟随着做，你可能会认为自己已经写出了一个 C2 这是一种常见的心态。根据我们的经验，在达到这个点上并不需要太多复杂性。我们之前所有的工作都可以很容易地通过使用 C#、Python、Go 等语言在疯狂喝咖啡打字的晚上轻松完成（而且已经完成过！）。C2 的主要特点通常可以与软件工程中相当古老且解决方案明确的概念和模式联系起来，例如线程管理、处理空闲进程以及确保正确执行程序流。

但正如我们编写各种 C2 时发现的那样，并且许多其他攻击性开发人员编写他们自己的植入物和服务器时也发现了同样问题：一旦代码运行良好并能获得 pingback 后，您就停止在开发计算机上运行您的植入物并尝试在第二台计算机上运行它。这就是问题开始浮现之处。比如“为什么我无法访问远程文件？”，“为什么我可以通过这个协议进行出站请求，但不能通过那个协议？”，“为什么这个命令只是失败了而没有解释”，以及对于有足够的冒名顶替综合症的愤世嫉俗者，“为什么 Defender 没有阻止我做这件事？”。

就我们个人而言，这篇文章是我们期待写作的。它将是一个讨论，并附带一些示例，介绍在具有主动端点保护环境中越来越常见的行为。在 2022 年，植入物面临着更多审查——植入物和 C2 运营商必须准备好面对或规避此类审查，而防御者必须了解其工作原理，以便最大限度地利用它。

在撰写本文时，我们还想澄清关于“它避开了 EDR”的推文。虽然该植入物能够执行操作并不意味着端点保护程序看不到它——可能会如此，但我们想演示一些这些解决方案用于识别恶意行为并引起对植入物怀疑的技术。

简而言之，执行的证明并不等于逃避的证明。

这篇文章将涵盖以下内容：

通过本篇文章的阅读，我们将了解到现代EDR如何保护免受恶意植入物的攻击以及这些保护措施如何被绕过。我们将从一个技术上可行但实际无法达成操作目标的植入物转变为对如何编写能够实际工作并能够达成操作者目标的植入物有所认识。

正如我们多次强调的那样，我们不会创建一个可用于操作的C2。本系列输出内容质量较差且存在缺陷 - 它只足以作为一种破碎证明特定主题中讨论内容正确性的概念验证代码，以避免该代码被恶意使用。出于同样原因，我们试图避免在本系列中讨论红队操作策略。然而随着文章深入，很明显与已经受到妥协用户典型行为相融合是有效的。这是 xpn[3]在Twitter上曾经谈论过的话题：

Find Confluence, read Confluence.. become the employee!

— Adam Chester (@xpn) January 22, 2022[4]

如果您的植入物已被EDR标记，查询每个AD加入计算机上的NetSessionEnum[5]以查找活动会话可能不是典型用户行为。直到它停止响应，您可能不知道自己的植入物已被标记。从这里开始，就要竞赛了，直到您的植入物上传到VirusTotal[6]，然后您必须重新开始规划。

在本博客中我们将经常提到以下程序：

该项目主要用于研究，但由于其灵活设计和核心组件，可以在正确配置和可扩展基础设施下部署在更大环境中。

这两个工具将允许我们在需要时生成概念验证数据。

与Maelstrom: Writing a C2 Implant[10]类似，我们希望有一个专门的部分来澄清一些在继续之前需要一些背景知识的主题。

端点检测和响应（EDR）软件有许多不同的缩写，不同公司的程序及其功能可能存在区别。为简单起见，我们称所有仅限于静态扫描磁盘文件的程序为“反病毒”，而将所有进一步扫描设备内存、查看程序运行时行为并在发生威胁时进行响应的程序称为“EDR”。这些可能被称为各种名称，包括XDR、MDR或普通AV。

在本系列中，正如我们迄今所做的那样，我们将坚持使用“EDR”。

关于此问题一个很好的概述是CrowdStrike发布了“What is Endpoint Detection and Response (EDR)”[11]。

端点检测和响应（EDR），也称为端点检测和威胁响应（EDTR），是一种端点安全解决方案，可持续监视最终用户设备以侦测和应对勒索软件和恶意软件等网络威胁。

EDR由Gartner的Anton Chuvakin创造，被定义为“记录并存储端点系统级行为，使用各种数据分析技术来检测可疑的系统行为，提供上下文信息、阻止恶意活动，并提供修复建议以恢复受影响的系统。”

因为这与本帖子相关，下一节将介绍EDR架构并比较不同厂商之间的EDR行为。我们不会大量偏离主题地涉及其他相关领域，例如反病毒软件如何工作、基于磁盘保护如何防止植入执行（如果您仍在运行磁盘）、AntiVirus和EDR实际上是如何扫描文件及其行为的。结果证明，那就像一个完整的学科领域。

在讨论端点保护时，了解其架构可能会有所帮助。Symantec EDR Architecture[12] 的架构大致如下：

类似的方法也可以看到 Defender for Endpoint[13] 中。基本上，安装该产品的设备将具有代理程序，其中包括几个驱动程序和进程，这些驱动程序和进程从机器的各个方面收集遥测数据。通过本文和下一篇文章，我们将介绍其中一些。

顺便说一句，在Windows环境中，Microsoft天生就占据优势。虽然这目前针对“大型企业”客户（或者至少我们认为是这样，考虑到他们在Azure上的价格！）， 但Microsoft Defender和新版Defender MDE都可以访问Microsoft对...自己操作系统的知识，并影响新操作系统功能的开发。长期来看，不难想象微软Defender MDE会以类似于微软Defender影响反病毒市场的方式影响EDR市场。

所有EDR通常都是从代理发送遥测数据到云端，在那里通过各种沙盒和其他测试设备运行，并且可以由机器和人员操作员进一步分析其行为。

对于过度好奇的读者，以下链接详细介绍了特定供应商的EDR架构方法：

不想离题太远，就像并非每个红队评估都是红队一样，并非每个EDR都是真正的EDR。以下Gartner Magic Quadrant[18]来自Gartner 2021年5月报告[19]，大致勾画了EDR领域的格局。值得注意的是，CrowdStrike雇佣[20] Alex Ionescu[21](ReactOS内核维护者)表明目前最佳实践的EDR在很大程度上利用了对Windows内部功能知识以提高其性能：

由于许多EDR功能依赖于我们将在此处讨论的方法（例如定制编写直接行为、如内核回调和挂钩），因此能够快速实现新Microsoft Windows特性并开发自己可靠地与恶意进程交互和中断方式似乎是现代EDR与同行区分开来的显著特点。

另一个EDR供应商倾向使用且尤其因报告公开而使用的度量标准是Mitre Enginuity[22]。攻击评估[23]描述如下：

MITRE Engenuity ATT&CK® 评估（Evals）计划将产品和服务提供商与MITRE专家合作，共同评估安全解决方案。Evals过程采用基于威胁的紫队方法应用系统化方法，以捕获关于解决方案能力的关键上下文，该能力可以检测或保护免受ATT&CK知识库定义的已知对手行为。每次评估的结果都会得到彻底记录并公开发布。

例如，在SentinelOne[24]中，其结果可在以下链接中查看：SentinelOne概述[25]。概述介绍了APT场景，并标记了是否检测到该技术，并可用作其“有效性”的跟踪器。然而，一些人在线上表达了这不是确定产品效果的全面方式。

从购买角度来看EDR时，有几种确定有效性的方法值得考虑，并在此简要介绍它们。主要考虑因素是某些供应商未必比杀毒软件提供更多功能。与任何产品一样，请确保为您的业务需求购买正确的解决方案。

在讨论内核和用户空间模型时，将使用以下架构图像，这对任何计算机科学毕业生来说都很熟悉：

绝大多数用户活动将发生在第3环（User Mode），令人惊讶的是内核在Kernel Mode中运行。

有关更多信息，请参见Windows编程/用户模式与内核模式[26]。值得注意的是，用户模式和内核模式之间可以并且确实会发生交叉。

前面链接中的以下定义总结了这些层之间的差异：

再次为了避免本帖子变得比已经很长还要长，请参阅Windows组件概述[27]文档以获取有关下图更详细信息。然而，它只是显示了从进程、服务等到内核的Windows架构。我们很快会更详细地介绍这个问题。

使用WinAPI的应用程序将穿过到在Kernel Mode中运行的Native API[28]（NTAPI）。

例如，可以使用API Monitor查看正在执行的调用：

上面显示了CreateThread被调用，然后不久之后又被调用NtCreateThreadEx。

当调用KERNEL32.DLL中的函数时，例如CreateThread，它将对NTDLL.DLL中相应的NTAPI进行后续调用。例如，CreateThread[29] 调用 NtCreateThreadEx[30]。此函数将RAX[31]寄存器填充为系统服务号（SSN）。最后，NTDLL.dll将发出一个SYSENTER[32]指令。然后会导致处理器切换到内核模式，并跳转到预定义的函数，称为系统服务分发程序。

以下图像来自Rootkits: Subverting the Windows Kernel[33]，在Userland Hooks[34]部分中：

驱动程序是Windows的软件组件，它允许操作系统和设备进行通信。以下是来自什么是驱动程序？[35]的一个例子：

例如，假设应用程序需要从某个设备读取一些数据。应用程序调用由操作系统实现的函数，而操作系统调用由驱动程序实现的函数。该驱动程序由设计和制造该设备的同一公司编写，知道如何与设备硬件通信以获取数据。在驱动程序从设备获取数据之后，它将数据返回给操作系统，然后再将其返回给应用程序。

对于终端保护而言，有几个原因使得驱动非常有用：

声明：在继续之前，请务必观看 REcon 2015 - Hooking Nirvana (Alex Ionescu)[37]，请在观看完毕后再回到本帖。

EDR 的另一个常见特性是用户空间 Hooking DLL。通常，这些 DLL 会在进程创建时加载，并用于通过自身代理 WinAPI 调用以评估使用情况，然后重定向到正在使用的任何 DLL。例如，如果正在使用 VirtualAlloc，则流程将如下所示：

钩子允许通过在函数地址处放置 jmp 指令来拦截 WinAPI 调用进行函数插装。此 jmp 将重定向调用的流程。我们将在以下部分中查看其实际操作方式。通过挂钩函数调用，作者可以：

这不是详尽无遗的列表，但应该足以演示我们运行植入物时最经常遇到的功能。

其中一些例子包括：

为了不必从头开始编写所有令人生畏的逻辑就能访问我们的内核回调，我们将使用[狩猎ELK（HELK）]：

狩猎ELK或简称HELK是最早具有高级分析功能（如SQL声明语言、图形化、结构化流和甚至通过Jupyter笔记本和Apache Spark进行机器学习）的开源狩猎平台之一。该项目主要用于研究，但由于其灵活的设计和核心组件，可以在正确配置和可扩展基础设施下部署到更大规模的环境中。

我们还使用以下脚本来自探索DLL加载、链接和执行[49]以搜索Sysmon日志：

内核回调[50]，根据微软的说法： > 内核的回调机制提供了一种通用方式，使驱动程序能够在满足某些条件时请求和提供通知。 本质上，它们允许驱动程序接收和处理特定事件的通知。从veil-ivy/block_create_process.cpp[51]中可以看到使用PsSetLoadImageNotifyRoutine 回调来阻止进程创建的实现:

在这个例子中，ObRegisterCallbacks 被用来阻止 notepad 的创建。一个终端保护解决方案可能不会以这种方式使用它，但很可能会使用此类回调作为遥测来确定是否发生了恶意活动。

在本节中，我们将讨论 PsSetLoadImageNotifyRoutine[52]。该回调负责确切地执行其名称：当图像被加载到进程中时发送通知。有关示例实现，请参见从内核驱动程序订阅进程创建、线程创建和图像加载通知[53]。

要理解 PsSetLoadImageNotifyRoutine 如何工作，我们需要确定它的触发器是什么。

假设以下代码：

当调用LoadLibraryA时，该函数会注册一个回调来通知驱动程序已经发生了这种情况。为了在HELK中查看此日志，我们使用之前提到的脚本[54]。如果我们过滤掉上面的代码中的 main.exe ，我们可以看到 winhttp.dll 已加载：

在Elastic中，我们也可以使用以下KQL：

event_original_message保存整个日志：

为了查看这是在做什么，我们可以浏览 ReactOS[55] source code:

这对于熟悉它的工作方式很有帮助。但是，在 Bypassing Image Load Kernel Callbacks[62]中，由 batsec[63]确定触发器位于 NtCreateSection[64] 调用中，然后在LdrpCreateDllSection中调用。因此，我们不需要花太多时间进行调试以找到它。

在batsec的文章中，他们展示了以下代码可以使用来刷屏上述事件：

这是它的演示：

在上面，可以看到CertEnroll.dll被加载到spoof-load.exe进程中。请记住，这并没有被加载。在这里发生的唯一事情就是传递了该DLL的字符串。然后我们告诉加载器该DLL的基地址是shellcode的基地址：

查看此技术，有两个明显的用例：

我们不会在这里重新发明轮子，在Bypassing Image Load Kernel Callbacks[68]中已经很好地解释了它。本质上，为了使回调不触发，需要重写完整的装载程序。该研究得出结论DarkLoadLibrary[69]:

实际上，“DarkLoadLibrary”是“LoadLibrary”的一个实现，它不会触发图像装载事件。它还具有许多额外的功能，可以在恶意软件开发期间使生活更轻松。

这个库的概念验证用法来自DLL Shenanigans[70]。

让我们检查一下：

然后运行上述3个命令：

为避免调用已被识别为注册回调的“NtCreateSection”，将段映射与“NtAllocateVirtualMemory”或“VirtualAlloc”完成，如MapSections()[71]中所示。

显然，PsSetLoadImageNotifyRoutine 不是唯一的回调函数，还有很多其他可用的回调函数。内核回调函数[72] 有一个（非全面！）列表：

其中一个强大的方法是使用PsSetCreateProcessNotifyRoutineEx()，因为进程创建的通知对于系统遥测来说是致命的。在撰写本文时，我们不知道这个领域有任何研究。虽然说实话，我们也没有去看过。

在本节中，我们将介绍一些流行但基础的Hooking技术。

在查看一些库之前，让我们先看两个示例 - x86手动Hooks和NtSetProcessInformation回调函数。

使用Windows API Hooking[73]作为x86示例（更容易演示），我们可以将代码改编成以下形式：

然后，在 main 函数中，调用 SymInitialize[83] 函数，然后设置插桩：

运行此完成的示例，我们现在可以看到所有函数名称和返回代码：

该钩子可以更新以获取访问完整分析所需的参数，但是对于这个最初的概念验证，我们没有感觉有必要研究它。

最后提一下这种技术可用于枚举给定函数调用的系统服务号（SSN）。Paranoid Ninja[84] 在EtwTi-Syscall-Hook[85] 和 Release v0.8 - Warfare Tactics[86] 中记录了这一点，在那里钩子更小（代价是做得少得多）：

它的配对反汇编：

在2019年，Cneelis[87] 发布了 Red Team Tactics: Combining Direct System Calls and sRDI to bypass AV/EDR[88] ，随后发布了 SysWhispers[89]:

SysWhispers 为红队提供了生成核心内核映像 (ntoskrnl.exe) 中任何系统调用的头文件 / ASM 对的能力。这些头文件还将包括必要的类型定义。

然后，modexp[90] 提供了一个 更新版本[91]，修正了第一版中的缺陷，并给我们带来了 SysWhispers2[92]:

SysWhispers2 中特定的实现是 @modexpblog 代码的变体之一。其中一个区别是每次生成时函数名称哈希都会被随机化。@ElephantSe4l[93]曾经早期发表过这种技术，他有另外一个基于 C++17 的实现[94]，也值得一看。

主要变化是引入了 base.c[95]，这是 Bypassing User-Mode Hooks and Direct Invocation of System Calls for Red Teams[96] 的结果。

而且，KlezVirus[97] 还制作了 SysWhispers3[98]:

使用方法与 SysWhispers2[99] 非常相似，以下是一些例外：

更好地解释这些功能可以在博客文章中找到:  SysWhispers is dead, long live SysWhispers![101]

这只是 SysCall 技术套件之一，还有一个基于 Heavens Gate 的完整技术。请参见 Gatekeeping Syscalls[102] 以了解这些不同的技术。

即使如此！还有更多：

回顾一下！

通过能够转换为内核模式，我们可以避开用户空间钩子。因此，让我们构建一些东西。

对于我们的示例，我们将使用MinHook[106]：

Windows 的极简 x86 / x64 API Hooking 库

这将是一个被加载到进程中并钩取功能以根据其行为做出某些决策的 DLL。这里是 DllMain：

当DLL_PROCESS_ATTACH是加载原因时，我们会创建一个新线程并将其指向我们的“主”函数。这是我们初始化minhook和设置一些钩子的地方：

MH_Initialize()是必须调用的，因此我们从这里开始。接下来，我们创建3个钩子：

钩子是使用MH_CreateHookApi()调用创建的：

要创建一个钩子，需要4个东西：

以下是示例：

NtAllocateVirtualMemory_Hook() 是用于替换原始函数的函数：

该函数的声明与typedef完全相同：

这样做是为了避免钩子之间的输入问题。

在NtAllocateVirtualMemory_Hook函数中，我们唯一检查的是保护类型是否为PAGE_EXECUTE_READWRITE、RWX，因为这通常是恶意活动的迹象（通常）。如果匹配，则只需打印我们发现了什么。

然后，我们有一个阻止概念。这意味着如果“BLOCKING”为真，则返回。如果它为假，则返回指向原始函数的指针，允许函数按用户期望执行。

在NtProtectVirtualMemory中，我们只检查对于更改到 PAGE_EXECUTE_READ, 因为这是常见的保护类型以避免 RWX 分配：

In NtWriteVirtualMemory, no additional checks are made:

在这个例子中，我们有一个 PE 文件，它只是在 DLL 上调用 LoadLibraryA，然后运行一个伪装的注入：

运行此命令可以显示被检测到的调用（以非阻塞模式）：

在截图中，我们可以看到：

这就是我们计划检测的所有内容。那么如何绕过呢？由于社区开发了很多工具，实际上相当容易。但在此之前，我们需要讨论用户空间和内核空间。

对于本示例，我们将使用Tartarus Gate[107]。我们只需在wmain中进行一次调用即可。:

然后在 Payload 中更改有效载荷：

检查已加载的模块：

DLL 已被加载。

运行它，并在线程创建时设置断点，因为有效载荷是垃圾：

上面显示了minhook的初始化，然后启用钩子。在此之间，有一个移动到RX。但是，在设置钩子之前发生了这种情况。因此，这很可能是minhook或CRT做某些事情。我们没有花时间去检查这个问题。

正如我们所述，这不是每种潜在技术的全面审查。另一种特别值得探索的技术是向量异常处理（VEH）[108] 。其中两个例子分别为ethicalchaos[109]关于In-Process Patchless AMSI Bypass[110] 的文章和Countercept[111]的 CallStackSpoofer[112]。

与内核回调一样，这是一个活跃的研究领域，在本文中要探索的内容远远超出了我们拥有时间或空间的范围。

进程的另一个组件可以通过线程[113]调用堆栈进行查询。如在WinDbg中查看调用堆栈[114]所述，调用堆栈定义为：

调用堆栈是导致程序计数器当前位置的函数调用链。在调用堆栈上方的函数是当前函数，下一个函数是调用当前函数的函数，以此类推。显示的呼叫堆栈基于当前程序计数器，除非更改寄存器上下文。有关如何更改寄存器上下文的详细信息，请参阅更改上下文[115]。

由于呼叫堆栈可以帮助确定线程意图，因此经常接受审查以确定其有效性。在本节中，我们想演示如何使用呼叫堆栈来确定恶意行为（在一个简单例子中），然后讨论处理这种情况时采取攻击策略。

这里有一个Vulpes植入物：

如果我们查看进程(10792) 的线程，则可以看到一些从难以捉摸的TpReleaseCleanupGroupMembers[116]开始的线程：

这在进程中很常见，以下是chrome.exe的示例：

然后是RuntimeBroker.exe：

这对攻击者来说是一个好的侧面说明。如果所讨论的植入物依赖于伪装成其他东西，则需要考虑这一点。例如，如果植入物正在使用像Chrome之类的浏览器，则HTTP应该以相同方式处理，并且应模仿线程的入口点和呼叫堆栈。

回到Vulpes植入物，调用堆栈主要为“TpReleaseCleanupGroupMembers”，这很好。但是，如果我们查看一些线程，则会发现负责WinHTTP 的线程如下图所示：

而以下则是由进程启动的通用线程:

还有几个例子，但让我们专注于第二个例子，因为它是可以在许多进程中找到的一个线程的调用堆栈。让我们看一下如何以编程方式读取线程堆栈，以及伪造的线程基地址可能会引起怀疑。

以下是入口点：

在上面的代码中，我们有两个线程ID。

因此，我们需要编写一个函数来枚举该线程的调用堆栈。我们可以使用以下代码实现：

从 DbgHelp[117] 库中，我们使用以下函数：

将代码指向正常线程堆栈：

这与之前看到的相匹配。现在将其更改为指向“坏”线程：

现在显示了一个迄今未见过的不同线程堆栈。查看第3个帧，它是CreateTimeQueueTimer[121]，该技术被描述为睡眠混淆技术:

作为免责声明，此技术完全归功于Peter Winter-Smith[124]。

因此，在程序上，很容易找到线程的调用堆栈。让我们将其扩展成一些非常基本的东西，以便开始使用。

首先，我们将定义一个硬编码的预期函数列表，这些函数早些时候已经看到了，我们可以将其用作完整性检查：

然后是一个空的列表，用于跟踪我们找到的所有内容：

现在，不仅要打印输出结果，还要将所有符号名称添加到向量中：

一旦代码运行并找到所有符号，让我们看看向量是否匹配：

将其指向_good_线程

我们得到了CLEAN消息。然后是“脏”线程：

显然，这段代码还没有准备好投入生产，编写此类逻辑的细微差别极具挑战性。但是，一些EDR供应商已经开始采用这种技术。鉴于研究如何混淆和使端点保护失效的增加，这是一个对于蓝队和红队都有用的技术。

谈到红队，关于修正此线程错误的研究已经在进行中了。

这项技术最初由Peter Winter-Smith[125]推广，并由mgeeky[126]在ThreadStackSpoofer[127]中重新解释。但是，该概念验证将返回地址设置为0，从而删除了与shellcode注入内存地址相关联的引用。

这是_Thread Stack Spoofing_ 技术的示例实现, 旨在规避检查线程调用堆栈中是否存在shellcode帧引用 的恶意软件分析员、AVs 和 EDRs 。其思想就是隐藏在线程的调用堆栈中对shellcode的引用，从而伪装包含恶意代码的分配。

如果我们从Vulpes中删除睡眠掩码，这是调用堆栈的样子：

该技术旨在通过将返回地址存储到变量中、将返回地址设置为0，然后恢复返回地址来隐藏这些地址。

从上述存储库中获取一个快速的代码示例：

在一个更近期的项目中，CallStackSpoofer[128] 由 William Burgess[129] 开发，以进一步掩盖堆栈。

请参见：Spoofing Call Stacks to confused EDRs[130]。

通过使用预定义的堆栈向量，该项目能够模拟以下内容：

这是一个WMI 的预定义向量示例[131]:

通过实施这种技术，将极大地增加我们之前展示的调用栈完整性检查的实现难度（尽管我们的演示是硬编码值，但观点仍然成立）。

这是一篇相当长的文章，在其中我们试图提供一些清晰度，以了解EDR可以使用哪些机制来不仅识别恶意活动，而且还可以防止它。

在此过程中，我们讨论了常见陷阱和一些可进行改进以保护免受绕过攻击的方法。同时，在做这件事情时，我们试图更多地揭示“X bypasses EDR”的故事情节，在这个故事中，“信标”可能已经回来了，但很可能有活动日志记录下来。下一集将介绍ETW和AMSI！

Maelstrom: EDR Kernel Callbacks, Hooks, and Call Stack: https://pre.empt.dev/posts/maelstrom-edr-kernel-callbacks-hooks-and-callstacks/

The Hunting ELK: https://github.com/Cyb3rWard0g/HELK

xpn: https://twitter.com/xpn

January 22, 2022: https://twitter.com/xpn/status/1484970081046126594?ref_src=twsrc%5Etfw

NetSessionEnum: https://blog.compass-security.com/2022/05/bloodhound-inner-workings-part-2/

VirusTotal: https://virustotal.com

The Hunting ELK: https://github.com/Cyb3rWard0g/HELK

Elastic: https://www.elastic.co/

PreEmpt: https://mez0.cc/projects/preempt/

Maelstrom: Writing a C2 Implant: https://pre.empt.dev/posts/maelstrom-the-implant/

CrowdStrike发布了“What is Endpoint Detection and Response (EDR)”: https://www.crowdstrike.com/cybersecurity-101/endpoint-security/endpoint-detection-and-response-edr/

Symantec EDR Architecture: https://pre.empt.dev/posts/maelstrom-edr-kernel-callbacks-hooks-and-callstacks/Symantec%20EDR%20architecture

Defender for Endpoint: https://docs.microsoft.com/en-us/microsoft-365/security/defender-endpoint/onboarding-endpoint-manager?view=o365-worldwide

EDR Architecture (Bitdefender): https://www.bitdefender.com/business/support/en/77209-87486-edr-architecture.html

EDR Security | Move Beyond Traditional Endpoint Detection and Response (paloalto Networks): https://www.paloaltonetworks.com/blog/security-operations/edr-security-move-beyond-traditional-endpoint-detection-and-response/

Symantec EDR architecture (Symantec): https://techdocs.broadcom.com/us/en/symantec-security-software/endpoint-security-and-management/endpoint-detection-and-response/4-4/introduction-v119804561-d38e3280/architecture-v125228003-d38e2709.html

Onboarding using Microsoft Endpoint Manager (Microsoft): https://docs.microsoft.com/en-us/microsoft-365/security/defender-endpoint/onboarding-endpoint-manager?view=o365-worldwide

Gartner Magic Quadrant: https://www.gartner.com/en/research/methodologies/magic-quadrants-research

Gartner 2021年5月报告: https://www.gartner.com/reviews/market/endpoint-detection-and-response-solutions

CrowdStrike雇佣: https://www.crowdstrike.com/blog/author/alex-ionescu/

Alex Ionescu: https://twitter.com/aionescu

Mitre Enginuity: https://mitre-engenuity.org/

攻击评估: https://mitre-engenuity.org/attackevaluations/

SentinelOne: https://sentinelone.com

SentinelOne概述: https://attackevals.mitre-engenuity.org/enterprise/participants/sentinelone?view=overview&adversary=wizard-spider-sandworm

Windows编程/用户模式与内核模式: https://en.wikibooks.org/wiki/Windows_Programming/User_Mode_vs_Kernel_Mode

Windows组件概述: https://docs.microsoft.com/en-us/windows-hardware/drivers/kernel/overview-of-windows-components

Native API: https://en.wikipedia.org/wiki/Native_API

CreateThread: https://docs.microsoft.com/en-us/windows/win32/api/processthreadsapi/nf-processthreadsapi-createthread

NtCreateThreadEx: https://undocumented.ntinternals.net/index.html?page=UserMode%2FUndocumented%20Functions%2FNT%20Objects%2FThread%2FNtCreateThread.html

RAX: https://docs.microsoft.com/en-us/windows-hardware/drivers/debugger/x64-architecture

SYSENTER: https://web.archive.org/web/20210618080941/http://qcd.phys.cmu.edu/QCDcluster/intel/vtune/reference/vc311.htm

Rootkits: Subverting the Windows Kernel: https://www.oreilly.com/library/view/rootkits-subverting-the/0321294319/

Userland Hooks: https://flylib.com/books/en/1.242.1.47/1/

什么是驱动程序？: https://docs.microsoft.com/zh-cn/windows-hardware/drivers/gettingstarted/what-is-a-driver-

PsSetLoadImageNotifyRoutine: PsSetLoadImageNotifyRoutine

REcon 2015 - Hooking Nirvana (Alex Ionescu): https://www.youtube.com/watch?v=pHyWyH804xE

了解并绕过 AMSI: https://x64sec.sh/understanding-and-bypassing-amsi/

RDPThief: https://github.com/0x09AL/RdpThief

Windows API Hooking: https://www.ired.team/offensive-security/code-injection-process-injection/how-to-hook-windows-api-using-c++

导入地址表（IAT）挂钩: https://www.ired.team/offensive-security/code-injection-process-injection/import-adress-table-iat-hooking

通过 Hooking msv1_0!SpAcceptCredentials 拦截登录凭据: https://www.ired.team/offensive-security/credential-access-and-credential-dumping/intercepting-logon-credentials-by-hooking-msv1_0-spacceptcredentials

保护堆：加密和 Hooks: https://mez0.cc/posts/protecting-the-heap/

RtlAllocateHeap: https://docs.microsoft.com/en-us/windows-hardware/drivers/ddi/ntifs/nf-ntifs-rtlallocateheap

RtlReAllocateHeap: http://undocumented.ntinternals.net/index.html?page=UserMode%2FUndocumented%20Functions%2FMemory%20Management%2FHeap%20Memory%2FRtlReAllocateHeap.html

LdrLoadDll Hook: https://gist.github.com/bats3c/59932dfa1f5bb23dd36071119b91af0f

HELK：安装: https://thehelk.com/installation.html

高级Windows日志记录-查找AV遗漏内容: https://www.youtube.com/watch?v=C2cgvpN44is

探索DLL加载、链接和执行: https://mez0.cc/posts/exploring-dll-loads/

内核回调: https://docs.microsoft.com/zh-cn/windows-hardware/drivers/kernel/callback-objects

veil-ivy/block_create_process.cpp: https://gist.github.com/veil-ivy/f736ad22dbc388ca88cbf47ef8ebf69e

PsSetLoadImageNotifyRoutine: https://docs.microsoft.com/zh-cn/windows-hardware/drivers/ddi/ntddk/nf-ntddk-pssetloadimagenotifyroutine

从内核驱动程序订阅进程创建、线程创建和图像加载通知: https://www.ired.team/miscellaneous-reversing-forensics/windows-kernel-internals/subscribing-to-process-creation-thread-creation-and-image-load-notifications-from-a-kernel-driver#code

之前提到的脚本: #Hunting_ELK

ReactOS: https://doxygen.reactos.org/index.html

LoadLibraryA: https://doxygen.reactos.org/de/de3/dll_2win32_2kernel32_2client_2loader_8c_source.html#l00111

LoadLibraryExA: https://doxygen.reactos.org/de/de3/dll_2win32_2kernel32_2client_2loader_8c_source.html#l00159

LoadLibraryExW: https://doxygen.reactos.org/de/de3/dll_2win32_2kernel32_2client_2loader_8c_source.html#l00288

LdrLoadDll: https://doxygen.reactos.org/d7/d55/ldrapi_8c_source.html#l00310

LdrpLoadDll: https://doxygen.reactos.org/d8/d55/ldrutils_8c_source.html#l02429

LdrpCreateDllSection: https://doxygen.reactos.org/d8/d55/ldrutils_8c_source.html#l00544

Bypassing Image Load Kernel Callbacks: https://www.mdsec.co.uk/2021/06/bypassing-image-load-kernel-callbacks/

batsec: https://twitter.com/batsec

NtCreateSection: https://doxygen.reactos.org/dc/de2/ARM3_2section_8c.html#a401a494e453d85c832f9bd8aa174c405

LDR_DATA_TABLE_ENTRY: https://www.geoffchappell.com/studies/windows/km/ntoskrnl/inc/api/ntldr/ldr_data_table_entry.htm

LDR_DLL_LOAD_REASON: https://github.com/processhacker/phnt/blob/461f7b6462bb4c81452757232eaaa41b16be59a4/ntldr.h#L87

RtlHashUnicodeString: RtlHashUnicodeString

Bypassing Image Load Kernel Callbacks: https://www.mdsec.co.uk/2021/06/bypassing-image-load-kernel-callbacks/

DarkLoadLibrary: https://github.com/bats3c/DarkLoadLibrary

DLL Shenanigans: https://github.com/mez-0/pantry/tree/main/cpp/dll-shenanigans

MapSections(): https://github.com/bats3c/DarkLoadLibrary/blob/047a0b0bf1d655470e0c70e247352bba1a748cbc/DarkLoadLibrary/src/ldrutils.c#L26

内核回调函数: https://codemachine.com/articles/kernel_callback_functions.html

Windows API Hooking: https://www.ired.team/offensive-security/code-injection-process-injection/how-to-hook-windows-api-using-c++

defuse.ca: https://defuse.ca/online-x86-assembler.htm

REcon 2015 - Hooking Nirvana (Alex Ionescu): https://www.youtube.com/watch?v=pHyWyH804xE

Alex Ionescu: https://twitter.com/aionescu

NtSetProcessInformation: http://undocumented.ntinternals.net/index.html?page=UserMode%2FUndocumented%20Functions%2FNT%20Objects%2FProcess%2FNtSetInformationProcess.html

modexp: https://twitter.com/modexpblog

Bypassing User-Mode Hooks and Direct Invocation of System Calls for Red Teams: https://www.mdsec.co.uk/2020/12/bypassing-user-mode-hooks-and-direct-invocation-of-system-calls-for-red-teams/

Secrary: https://github.com/secrary/

Hooking via InstrumentationCallback: https://secrary.com/Random/InstrumentationCallback/

HookingNirvana: https://github.com/ionescu007/HookingNirvana

SymInitialize: https://pre.empt.dev/posts/maelstrom-edr-kernel-callbacks-hooks-and-callstacks/

Paranoid Ninja: https://twitter.com/NinjaParanoid

EtwTi-Syscall-Hook: https://github.com/paranoidninja/EtwTi-Syscall-Hook

Release v0.8 - Warfare Tactics: https://bruteratel.com/release/2022/01/08/Release-Warfare-Tactics/

Cneelis: https://twitter.com/Cneelis

Red Team Tactics: Combining Direct System Calls and sRDI to bypass AV/EDR: https://outflank.nl/blog/2019/06/19/red-team-tactics-combining-direct-system-calls-and-srdi-to-bypass-av-edr/

SysWhispers: https://github.com/jthuraisamy/SysWhispers

modexp: https://twitter.com/modexpblog

更新版本: https://github.com/jthuraisamy/SysWhispers2/blob/main/data/base.c

SysWhispers2: https://github.com/jthuraisamy/SysWhispers2

@ElephantSe4l: https://twitter.com/ElephantSe4l

实现: https://github.com/crummie5/FreshyCalls

base.c: https://github.com/jthuraisamy/SysWhispers2/blob/main/data/base.c

Bypassing User-Mode Hooks and Direct Invocation of System Calls for Red Teams: https://www.mdsec.co.uk/2020/12/bypassing-user-mode-hooks-and-direct-invocation-of-system-calls-for-red-teams

KlezVirus: https://twitter.com/KlezVirus

SysWhispers3: https://github.com/klezVirus/SysWhispers3

SysWhispers2: https://github.com/jthuraisamy/SysWhispers2

@ElephantSeal's idea: https://twitter.com/ElephantSe4l/status/1488464546746540042

SysWhispers is dead, long live SysWhispers!: https://klezvirus.github.io/RedTeaming/AV_Evasion/NoSysWhisper/

Gatekeeping Syscalls: https://mez0.cc/posts/gatekeeping-syscalls/

FreshyCalls: https://github.com/crummie5/FreshyCalls

EtwTi-Syscall-Hook: https://github.com/paranoidninja/EtwTi-Syscall-Hook

FireWalker: https://www.mdsec.co.uk/2020/08/firewalker-a-new-approach-to-generically-bypass-user-space-edr-hooking/

MinHook: https://github.com/TsudaKageyu/minhook

Tartarus Gate: https://github.com/trickster0/TartarusGate

向量异常处理（VEH）: https://docs.microsoft.com/en-us/windows/win32/debug/vectored-exception-handling

ethicalchaos: https://ethicalchaos.dev

In-Process Patchless AMSI Bypass: https://ethicalchaos.dev/2022/04/17/in-process-patchless-amsi-bypass/

Countercept: https://www.withsecure.com/gb-en/solutions/managed-services/countercept

CallStackSpoofer: https://github.com/countercept/CallStackSpoofer/

线程: https://docs.microsoft.com/zh-cn/windows/win32/procthread/about-processes-and-threads

WinDbg中查看调用堆栈: https://docs.microsoft.com/zh-cn/windows-hardware/drivers/debugger/calls-window

更改上下文: https://docs.microsoft.com/zh-cn/windows-hardware/drivers/debugger/changing-contexts

TpReleaseCleanupGroupMembers: https://processhacker.sourceforge.io/doc/nttp_8h.html#afdd240c1c6b4713fdcc5e4701371e04f

DbgHelp: https://docs.microsoft.com/en-us/windows/win32/debug/debug-help-library

StackWalk64: https://docs.microsoft.com/en-us/windows/win32/api/dbghelp/nf-dbghelp-stackwalk64

SyGetModuleBase64: https://docs.microsoft.com/en-us/windows/win32/api/dbghelp/nf-dbghelp-symgetmodulebase64

SymFromAddr: https://docs.microsoft.com/en-us/windows/win32/api/dbghelp/nf-dbghelp-symfromaddr

CreateTimeQueueTimer: https://docs.microsoft.com/zh-cn/windows/win32/api/threadpoollegacyapiset/nf-threadpoollegacyapiset-createtimerqueuetimer

Vulpes: Obfuscating Memory Regions with Timers: https://mez0.cc/posts/vulpes-obfuscating-memory-regions/

Maelstrom: Writing a C2 Implant: https://pre.empt.dev/posts/maelstrom-the-implant/#Safe_Sleeping

Peter Winter-Smith: https://twitter.com/peterwintrsmith

Peter Winter-Smith: https://twitter.com/peterwintrsmith

mgeeky: https://twitter.com/mariuszbit

ThreadStackSpoofer: https://github.com/mgeeky/ThreadStackSpoofer

CallStackSpoofer: https://github.com/countercept/CallStackSpoofer

William Burgess: https://twitter.com/joehowwolf

Spoofing Call Stacks to confused EDRs: https://labs.withsecure.com/blog/spoofing-call-stacks-to-confuse-edrs

WMI 的预定义向量示例: https://github.com/countercept/CallStackSpoofer/blob/076672e29ee68086a607d9f0bde2cd22754c3ac1/VulcanRaven/VulcanRaven.cpp#L119

原文始发于微信公众号（榫卯江湖）：漩涡：EDR内核回调、钩子和调用堆栈