进程注入

进程注入是内网渗透过程中常用的一种技术,当前流行内网渗透工具如Cobalt Strike,Metasploit-Framework,Empire等都支持进程注入功能,其底层原理都是在系统进程的内存中运行恶意代码,达到隐藏自身的作用.本文介绍使用metasploit-framework进行自动进程注入的两种方式及其优缺点.
目前,用于后漏洞利用阶段的.NET仍然存在。这些利用方式已经与大多数C2框架捆绑在一起,移植到通用工具中,添加了AMSI的绕过方式,并使用非常巧妙的方法来运行非托管代码。
在过去一周,我做了一些Win32API相关的研究并尝试将其应用到实际的攻击中,在过去我已经做了一些与进程注入相关的工作,但是我一直在寻找更高级的攻击方式,同时希望能在进程注入的方向上更上一层楼。
通常情况下,在对攻击活动进行检测的过程中,我们会遇到一些难以有效检测的攻击技术。
.NET是一个强大的编程语言,可以用来快速可靠地开发软件,然而.NET也有其不适用的一些场景。本文重点讲解了DLL注入的一个案例,当未加载.NET Runtime时,无法向一个远程进程中注入.NET DLL(托管DLL)。
本文的目的是讨论将payload部署到目标进程的内存空间以便执行。我们可以使用传统的Win32 API来完成这个任务,有些读者可能已经对此很熟悉了,但是使用非常规方法也有可能具有创造性。
在本文中,我们将主要介绍一种新型的进程注入方法,我们称之为“Ctrl-Inject”,它利用控制台应用程序中处理Ctrl信号的机制实现注入。
在该文章中,讨论了一个名为“Get-InjectedThread”的工具,该工具是一个PowerShell脚本,能够列举当前正在运行的进程,检测并显示可能已经被进程注入的可疑进程。这一工具可以在GitHub下载。
这是本系列的下篇。Formbook是用C语言和x86汇编语言编写的窗体捕获和窃取的恶意软件。这是一个已经准备售卖的恶意软件,可以被任何不具备恶意软件开发技能的犯罪分子所使用。