文章插图
使用ProcessInjection.exe进行注入
ProcessInjection.exe /ppath:"C:\Windows\System32\calc.exe" /path:"hex.txt" /parentproc:explorer /f:hex /t:1参数说明:/ppath:目标 EXE 的进程路径(需要注入进程的路径)
/path:shellcode文件路径
/parentproc:父进程名称,目标EXE应在此进程下生成
/f:shellcode文件类型
/t:注入技术
支持的五种注入方式:
1) Vanilla Process Injection
2) DLL Injection
3) Process Hollowing
4) APC Queue
5) Dynamic Invoke - Vanilla Process Injection
文章插图
我们可以看到calc.exe在explorer.exe下,而shellcode则在calc.exe中执行 。
文章插图
文章插图
也可以进行DLL注入
ProcessInjection.exe /ppath:"C:\Windows\System32\calc.exe" /path:"shell.dll" /parentproc:explorer /t:2
文章插图
文章插图
文章插图
其他工具
***/Mr-Un1k0d3r/RemoteProcessInjection
***/xpn/getsystem-offline
***/hlldz/APC-PPID
***/ewilded/PPID_spoof
***/christophetd/spoofing-office-macro (VBA实现)
在Metasploit中Meterpreter 可以使用migrate命令或者后渗透模块post/windows/manage/migrate也可以实现进程迁移 。
总结
攻击者广泛使用该技术进行检测规避,并增加了应急响应人员检测IoC的时间 。针对许多过时的和未打补丁的EDR解决方案,可以使用此技术轻松规避检测 。通过本文,告诉大家在组织中应该使用最新的EDR解决方案以及在可以捕捉此类技术的优质产品中使用智能检测功能的重要性 。
推荐阅读
- 长毛兔养殖技术 长毛兔养殖
- 药品生产技术考什么证,从事药品生产活动应遵守什么
- 成都龙泉驿有哪些职业学校,成都有哪些职业技术学校排名
- 蚯蚓怎么养殖技术与管理 蚯蚓怎么养殖技术
- 桔梗的种植技术 桔梗种植技术介绍
- 果树修剪技术 果树修剪要领,果树修剪技术运用中应注意哪些问题
- 二维码是什么 二维码是什么技术
- 柚子树的种植技术有哪些 柚子树的种植技巧
- 工艺技术员主要做什么
- unity 3d实战核心技术详解