回归最本质的信息安全

;

防御者也在思考可视化(一)

2018年4月3日发布

44,158
0
0

导语:这篇文章(第一部分)将讨论现有的检测技术,名为Get-InjectedThread的PowerShell脚本,以确保所有读者具有相同的基础知识。

简介

欢迎来到我们的系列博客的第一部分,题为“Defenders Think in Graphs Too!”。在本系列中,Roberto Rodriguez(@cyb3rward0g)和我(@jaredcatkinson)将通过一个专门研究检测进程注入的案例来讨论我们对数据采集、数据质量和数据分析的看法。这篇文章(第一部分)将讨论现有的检测技术,名为Get-InjectedThread的PowerShell脚本,以确保所有读者具有相同的基础知识。在随后的文章中,我们将通过Get-InjectedThread的数据质量来分析问题,确定如何改进当前脚本,涵盖与HELK项目的集成以及研究使用可视化技术来改进我们的产品。

线程注入检测

在去年新奥尔良举行的SANS威胁狩猎峰会上,Endgame的Joe Desimone和我发布了Get-InjectedThread,这是一个PowerShell脚本,通过检测机器上的线程来检测代码注入。如果您有兴趣了解更多有关这种检测方法的信息,请查看相关视频或查看我进一步的解释。对于那些只关注脚本实际运行的用户,可以查看Get-InjectedThread的演示视频,PowerShell Empire客户端迁移到LSASS进程后也能检测。

与此同时,让我们看看Get-InjectedThread的实效。本文我们将关注Get-InjectedThread的功能而不是实用程序,因此我们使用良性测试函数作为示例。Joe编写了一个名为ThreadStart.exe的快速测试二进制文件,它模仿代码注入行为来测试我们脚本的功能。作为PowerShell迷,我决定在PowerShell中重写ThreadStart,以使它更易适用于我们的例子。所以第一步是从PowerShell进程中执行New-InjectedThread函数。New-InjectedThread的代码可以在GitHub上的PSReflect-Functions存储库中找到。 

让我们来快速回顾一下New-InjectedThread函数的功能:

· 以当前PowerShell进程的Id为参数执行Get-Process cmdlet。生成的System.Diagnostics.Process实例将包含一个稍后使用的进程句柄。

· 使用VirtualAllocEx分配内存写入“恶意”代码。

· 使用WriteProcessMemory将shellcode写入新分配的内存区域。这一步对于测试是不必要的,但我们目前正在写MZ作为头两字节来模仿PE头。

· 调用CreateThread并设置CREATE_SUSPENDED标志并指向VirtualAllocEx分配的内存区域。

· 由于我们不再使用它,因此使用CloseHandle关闭线程句柄。

· 输出验证“恶意”线程检测所需的信息。

当执行New-InjectedThread时,你会看到类似下图的结果:

使用New-InjectedThread创建一个测试注入线程

运行New-InjectedThread后,它看起来像我们有一个示例线程来检测。注意该函数报告“恶意”线程的ProcessId(1008),ThreadId(9220)和Memory Base Address(2144746340352)。

接下来,我们可以在终端上运行Get-InjectedThread,并期望检测出至少一个代码注入实例。这与将Get-InjectedThread.ps1加载到当前PowerShell的运行空间并调用不带参数的Get-InjectedThread函数一样简单,如下所示:

使用Get-InjectedThread检测注入

很棒!Get-InjectedThread检测到在powershell.exe进程中有注入。经过深入调查,我们注意到ThreadId和BaseAddress字段与预期的基于New-InjectedThread报告的内容相符。

让我们花点时间来了解一下Get-InjectedThread如何工作。 Get-InjectedThread是基于Matt Graeber的PSReflect模块构建的PowerShell脚本。PSReflect将Reflection的复杂性抽象出来,围绕Win32 API构建函数、枚举和结构体,供PowerShell在内存中访问。Get-InjectedThread专门使用PSReflect来收集有关进程、线程、访问令牌和登录会话的信息。然后将这些信息组成一个自定义的psobject实例并输出到PowerShell管道。在下面,可以看到通过PSReflect收集到的信息InjectedThread对象的可视化。

Get-InjectedThread数据结构

对于那些对技术细节感兴趣的人,下面是对Get-InjectedThread中细节更加技术性的解释:

· 使用ProcessId 为0(所有进程)并将Flag参数设置为4(TH32CS_SNAPTHREAD)调用Create Toolhelp Snapshot。这将返回所有当前正在运行的线程的快照。

· 使用Thread32First和Thread32Next处理快照中的所有线程。

以下每个步骤都将在每个线程上执行:

· 调用OpenThread以接收内核中的Thread对象的句柄。

· 使用Thread句柄,为ThreadInformationClass参数指定值为9(ThreadQuerySetWin32StartAddress)的NtQueryInformationThread。这将返回线程的内存起始地址。

· 调用OpenProcess来接收当前线程拥有进程的句柄。

· 将进程句柄和线程起始地址传递给VirtualQueryEx以查询目标内存页面。这将返回一个MEMORY_BASIC_INFORMATION结构。

· 检查返回结构中的State和Type字段。

· 所有线程的状态应该是MEM_COMMIT

· 所有线程的类型应为MEM_IMAGE

· 如果Type不等于MEM_IMAGE,那么你有一个正在运行代码的线程,这个线程不会被磁盘上的文件(又名注入)所支持。

针对所有“注入的线程”执行以下步骤:

· 使用ReadProcessMemory在BaseAddress中读取内容。基地址的前100个字节将从该函数返回。

· 使用OpenThreadToken获取应用于线程的访问令牌的句柄。如果此函数失败,请使用OpenProcessToken获取进程“主”访问令牌的句柄。默认情况下,如果不使用模拟,线程将使用进程访问令牌。

· 调用GetTokenInformation来查询有关访问令牌的信息,例如用户,特权,模拟级别,完整性级别以及许多其他属性。

现在,我们都了解了Get-InjectedThread是如何工作的,并且有一个简单的测试例子来验证我们的逻辑。

改进注入线程检测

这个PowerShell脚本的接收量比我预期的要大。让社区拥有以前专为商业EDR解决方案或重要分析技术(如Memory Forensics)而保留的功能感觉很棒。借助Get-InjectedThread,任何安全从业人员都可以开始在企业内部寻找内存驻留攻击。

最近,我开始想着如何改进Get-InjectedThread。我仍然认为底层的功能非常好,但我觉得可以在数据方面做的更多。就目前而言,Get-InjectedThread在微观层次检测代码注入,但在终端上错过了更大的Context。例如,Get-InjectedThread只会为检测到已注入的线程返回输出。这意味着计算资源正在使用,但我们的分析师没有收到这些数据。如果这些遗漏的数据可用于其他检测,该怎么办?在Get-InjectedThread的情况下,我们必须为其他检测工作运行一个完全独立的集合。主要解决方案是不在终端上执行分析工作。相反,收集所有相关数据并转发到集中日志源(例如HELK)来进行分析。

结论

多年来,我一直专注于数据收集,Roberto专注于数据分析。我们相信,我们已经整合出一套非常好的方法来处理整个过程的数据。本系列博客是我们的尝试,通过实际使用案例在社区分享研究结果。在第二部分中,我们将深入探讨Get-InjectedThread的问题,并讨论如何对脚本集进行改进。之后的博客将从数据质量、相关性和分析角度审视这些数据。本文旨在作为本系列的入门介绍,敬请关注第二部分!

本文翻译自:https://posts.specterops.io/defenders-think-in-graphs-too-part-1-572524c71e91如若转载,请注明原文地址: http://www.4hou.com/technology/10919.html

点赞 0
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

TRex

这个人很懒,什么也没留下

发私信

发表评论