#BypassEDR with #Code_Injection
در کنفرانس BlackHat 2022 یک ارائه ای مطرح شد مبنی بر رویکردی جدید از نحوه تزریق کد به یک Process بی آنکه توسط EDR ها شناسایی شود.
روش شناسی محقق بر مبنای امکان ایجاد یک Fork از یک Process است، بدین صورت که از یک پردازش والد بتوان یک پردازش والد دیگری را ایجاد نمود.
مشخصا محقق اشاره میکند که اینکار توسط یکی از توابع API سیستم عامل میتواند صورت گیرد با نام
همچنین تابع دیگری با نام PssCaptureSnapshot از POSIX ویندوز گرفته میشود برای ضبط محتوای مقادیر آدرس های مجازی یک پردازش.
حالا مهاجم بطور مثال میخواهد از LSASS یک Dump بگیرد، اینکار توسط EDR پیشگیری خواهد شد، اما اگر مهاجم بتواند بواسطه روش شناسی پیشتر توضیح داده شده بتواند یک Clone از پردازش LSASS ایجاد کند.
اینجا Dump صورت گرفته و EDR فرایند را تشخیص نخواهد داد و اینکار میبایست توسط Remote Fork API صورت بگیرد در Self Fork API .
ادامه موضوع از صفحه 13 به بعد است...
@Unk9vvN
در کنفرانس BlackHat 2022 یک ارائه ای مطرح شد مبنی بر رویکردی جدید از نحوه تزریق کد به یک Process بی آنکه توسط EDR ها شناسایی شود.
روش شناسی محقق بر مبنای امکان ایجاد یک Fork از یک Process است، بدین صورت که از یک پردازش والد بتوان یک پردازش والد دیگری را ایجاد نمود.
مشخصا محقق اشاره میکند که اینکار توسط یکی از توابع API سیستم عامل میتواند صورت گیرد با نام
RtlCloneUserProcess که از ماژول Windows Dagnostic Infrastructure گرفته شده است.همچنین تابع دیگری با نام PssCaptureSnapshot از POSIX ویندوز گرفته میشود برای ضبط محتوای مقادیر آدرس های مجازی یک پردازش.
حالا مهاجم بطور مثال میخواهد از LSASS یک Dump بگیرد، اینکار توسط EDR پیشگیری خواهد شد، اما اگر مهاجم بتواند بواسطه روش شناسی پیشتر توضیح داده شده بتواند یک Clone از پردازش LSASS ایجاد کند.
اینجا Dump صورت گرفته و EDR فرایند را تشخیص نخواهد داد و اینکار میبایست توسط Remote Fork API صورت بگیرد در Self Fork API .
ادامه موضوع از صفحه 13 به بعد است...
@Unk9vvN