天融信阿尔法实验室 » APT攻防研究

ATT&CK 之防御逃逸

Wed, 25 Dec 2019 08:11:54 +0000

一、前言

基于MITRE ATT&CK框架中关于“防御逃逸”（Defense Evasion）的战术专题，笔者将深入介绍其中大部分防御逃逸手段的技术原理、检测方法及缓解方案，为求简洁直观的表达其技术原理，本文对部分战术的实现提供了演示性的代码。其实在学习MITRE ATT&CK框架并一个个实现其原理的过程中，就会发现我们慢慢的对攻击者的攻击思路和攻击方向有了更清晰的认识，并逐步了解他们是如何发现新的攻击手段的。例如在本次的防御逃逸专题中有个应用程序白名单绕过，攻击者总会在Windows系统上找到一些被系统或杀软信任而不会进行限制的应用程序，这些应用通常是被大家忽视或不[......]

ATT&CK之后门持久化

Fri, 09 Aug 2019 08:55:38 +0000

前言

在网络安全的世界里，白帽子与黑帽子之间无时无刻都在进行着正与邪的对抗，似乎永无休止。正所谓，道高一尺魔高一丈，巨大的利益驱使着个人或组织利用技术进行不法行为，花样层出不穷，令人防不胜防。为了更好的应对这些攻击手段，就需要做到了解对手。俗话说：知己知彼，方能百战不殆。MITRE ATT&CK™就提供了全球范围的黑客的攻击手段和技术知识点，并把APT组织或恶意工具使用到的攻击手段一一对应，便于从根源上解决问题。许多公司和政府部门都会从中提取信息，针对遇到的威胁建立安全体系或模型。我们作为安全从业人员，如果能够掌握MITRE ATT&CK™如此庞大的知识体系，对以后的[......]

Linux下的Rootkit驻留技术分析

Wed, 07 Nov 2018 05:40:08 +0000

Linux作为服务器和IoT设备使用的主要操作系统,针对它的恶意软件也层出不穷。针对Linux设备的恶意软件（以下称为rootkit）通常需要长期驻留于目标操作系统以达到获利目的，所以如何实现驻留也是Linux rootkit作者的重点考虑内容之一，对此，天融信阿尔法实验室进行了可能的思路探索和分析。在接下来的说明中，我们统一使用一个名为evil的静态链接ELF文件作为我们要实现驻留的rootkit，所有的驻留尝试均围绕这个程序展开。

技术汇总

1. 用户态下的可利用点

1.1 各种init的利用

Linux init

在systemd成为主流之前，sysvinit是大多数发[......]

基于taskmgr的应用层进程隐藏技术

冷风 — Thu, 22 Dec 2016 10:00:17 +0000

目前进程隐藏技术网上流程的主要是在驱动层进行挂钩，但是由于win7之后，windows操作系统权限管理之类越来越严格，win7之后加载驱动首先需要管理员权限，另外windows加载驱动同时还需要有微软签发的驱动证书，这对于土八路来说基本是一个无解的难题，基本难以弄到正规公司的签证，同时，逆向windows的签证管理系统工作量太大，目前网上也没有签证伪造技术流传。相对驱动层来说，直接hook的ssdt表或者直接修改内核函数都较为方便，在应用层的话，其原理也是改写功能实现函数，从思路角度说，可以改写taskmgr.exe的txt段，导入表，对dll的[......]

攻防对抗之杀软穿透驱动揭秘

漏洞应急响应中心 — Fri, 23 Sep 2016 05:17:05 +0000

天融信阿尔法实验室李明政 1 穿透驱动的引出定义和历史 2 穿透驱动的实现原理简介 3 对抗杀软的驱动防御 1.1 穿透驱动的引出定义和历史 最早国内的杀软市场还是瑞星、金山、江民三分天下，借助PC时代红利的爆发。最鼎盛时瑞星一年靠软件能卖7亿元,个人级产品几乎垄断当时的市场。没有金刚钻不揽瓷器活，作为杀毒软件在与病毒木马后门搏斗的过程中打的过对方的保证便是率先加载于系统之中的底层驱动，这些底层驱动中有一个通用的驱动组件叫穿透驱动。杀毒软件为了达到清理恶意软件的目的也需要对进程文件注册表进程做相对应的强制性的操作。这些对应的强制性的操作一般通过Ring3[......]

关注利用伪基站+钓鱼网站获取受害者信息的攻击

漏洞应急响应中心 — Fri, 15 Apr 2016 06:54:00 +0000

0x0 什么是伪基站

“伪基站”即假基站，设备一般由主机和笔记本电脑组成，通过短信群发器、短信发信机等相关设备能够搜取以其为中心、一定半径范围内的手机卡信息，通过伪装成运营商的基站，冒用他人手机号码强行向用户手机发送诈骗、广告推销等短信息。

骗子通常利用伪基站把自己伪装成运营商（电信、移动 10086 、联通 10010）甚至伪装成银行“工行95588”、“建行95533”等宣称您的账户溢满xx积分，可兑换xx现金，要求用户通过手机登陆某个网站、进行积分查询和兑换。最近在我们公司附近，就出现了多次利用伪基站发送钓鱼网址的情形，以下是昨天下午我们对该类一事件的跟踪和分析。

0x1 Fa[......]

IE漏洞攻防编年简史

漏洞应急响应中心 — Wed, 20 Jan 2016 08:14:48 +0000

本文对历史上的微软IE 浏览器的影响较大0day做了梳理，讨论了IE漏洞在攻击防御技术上的进化，以及记录了此类漏洞前人们在历史上遗留下来的对抗经验和足迹。在IE浏览器攻防已经白热化的进入到第三个阶段的时候笔者才进入到IE浏览器攻防方面的研究学习。此时代号’Project Spartan’的微软的Edge浏览器从IE11手中接过windows默认浏览器的重担，使得服役将近20年的IE浏览器定格11这个历史的大版本号上面，自觉对IE浏览器漏洞的历史研究应有一篇简记，可供后来的初入行的安全研究者有所参考，故成此文，疏漏之处再所难免，敬请指正。更新记录 2016年01月08日 – 撰写初[......]

阿尔法实验室针对典型钓鱼攻击的溯源与反控制

漏洞应急响应中心 — Wed, 30 Dec 2015 10:19:08 +0000

近来，我们收到了一些针对天融信公用邮箱的鱼叉式定点攻击邮件，这些邮件五花八门，但是最终的目的还是要诱骗出邮箱的登录口令，从这一点来看，就可以轻松识别出钓鱼邮件。以下是钓鱼邮件的实例：

一、钓鱼邮件

识别要点：

发件人并非本公司的邮箱；
收件人的邮箱与收件人不匹配，仔细观察，发现管理员administrator,成为了admlnistnator,这也是一个钓鱼邮件的细节；
更重要的是这里出现了要求填写个人各种信息的内容，更加明确了这就是一封垃圾邮件。

这封邮件的欺骗程度更高！

仔细观察发件人的邮箱是某地方银行监督委员会的，它对于某[......]

TrueCrypt与CryptSetup双系统全盘加密(图文)

漏洞应急响应中心 — Wed, 28 Oct 2015 02:35:49 +0000

By kernux TopSec α-lab 选取无系统硬盘进行说明。

1. 首先在硬盘上安装Windows系统，过程简单，直接光盘启动电脑，或者PE安装，都可以。

2. 安装完成Windows后，开始安装Kali Linux。同样光盘启动电脑，或者U盘启动，进入安装后，具体分区过程如下：

选择Manual后第一个是Windows分区，后面是空闲空间，在这里建立一个boot分区再建立一个加密分区，选择Configure　encryted volumes 然后开始擦出分区信息，如果是新硬盘[......]

隐藏在windbg下面的攻防对抗

漏洞应急响应中心 — Thu, 02 Jul 2015 08:43:03 +0000

1 关于驱动底层操作的监控调试

一般在进行常规的ring0级别的windows调试的时候都会使用windbg。但是有的时候windbg中断过于频繁，比方说经常会出现这样的场景，需要追踪一个特定的被删除的文件backdoor.exe，backdoor.exe被杀毒软件删除掉了，想观察到backdoor.exe被删除的完整的栈回溯。这个时候使用ollydbg进行追踪下断或者使用官方的监控工具procmon.exe往往是徒劳的。一般来说杀毒软件都是通过deviceiocontrol下发相关的iocode，ring0层的穿越驱动通过解析iocode和它的buffer来确定删除的文件。国内杀毒软件的穿[......]