如何使用Hunt-Sleeping-Beacons识别休眠的Beacon
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-QbwCpGMp-1692441155810)(https://image.3001.net/images/20220630/1656602662_62bdc026710d238e89f88.png!small)]
关于Hunt-Sleeping-Beacons
Hunt-Sleeping-
Beacons项目的主要功能是帮助广大研究人员在运行时或其他正在运行进程的上下文场景中识别休眠的Beacon。为了实现这个目标,我们通过观察发现,Beacon会在回调过程中尝试调用sleep函数。在调用sleep的过程中,会将线程的状态设置为“DelayExecution”,而我们就可以将其作为第一个指标来识别线程是否在执行某个Beacon。
将所有状态为“DelayExecution”的线程全部枚举出来之后,我们就可以通过多种度量指标来识别潜在的休眠Beacon了。
度量指标
1、如果Beacon不使用基于文件的内存,那么NtDelayExecution的调用堆栈将包含无法与磁盘上的文件关联的内存区域;
2、如果Beacon使用了模块Stomping技术,则修改NtDelayExecution调用堆栈中的一个模块;
3、通过枚举标记为私有(非共享)存储的内存区域,可以对睡眠的内联钩子进行指纹识别;
4、由于Beacon等待命令的时间比实际执行代码的时间要长,因此可以通过比较SYSTEM_THREAD_INFORMATION的KernelTime和UserTime字段来对其进行指纹识别;
为了减少误报率,我们只考虑使用wininet.dll或winhttp.dll。
工具下载
广大研究人员可以使用下列命令将该项目源码克隆至本地:
git clone https://github.com/thefLink/Hunt-Sleeping-Beacons.git
工具使用
不基于文件的Beacon样例
[!] Suspicious Process: PhantomDllHollower.exe[*] Thread (9192) has State: DelayExecution and abnormal calltrace:NtDelayExecution -> C:\WINDOWS\SYSTEM32\ntdll.dllSleepEx -> C:\WINDOWS\System32\KERNELBASE.dll0x00007FF8C13A103F -> Unknown or modified module0x000001E3C3F48FD0 -> Unknown or modified module0x00007FF700000000 -> Unknown or modified module0x00007FF7C00000BB -> Unknown or modified module[*] Suspicious Sleep() found[*] Sleep Time: 600s
使用了模块Stomping的Beacon样例
[!] Suspicious Process: beacon.exe (5296)[*] Thread (2968) has State: DelayExecution and uses potentially stomped module[*] Potentially stomped module: C:\Windows\SYSTEM32\xpsservices.dllNtDelayExecution -> C:\Windows\SYSTEM32\ntdll.dllSleepEx -> C:\Windows\System32\KERNELBASE.dllDllGetClassObject -> C:\Windows\SYSTEM32\xpsservices.dll[*] Suspicious Sleep() found[*] Sleep Time: 5s
Beacon内联钩子休眠
[!] Suspicious Process: ThreadStackSpoofer.exe (4876). Potentially hooked Sleep / Modifies Kernel32.dll通过对比KernelTime和UserTime来识别常见Beacon行为[!] Suspicious Process: ThreadStackSpoofer.exe (4876). Thread 1132 has state DelayExecution and spends 94% of the time in usermode
项目地址
Hunt-Sleeping-Beacons :【[ GitHub传送门](https://github.com/thefLink/Hunt-
Sleeping-Beacons)】
参考资料
https://github.com/mgeeky/ThreadStackSpoofer[ https://github.com/waldo-
irc/YouMayPasser/blob/master/Lockd/Lockd/Sleep.cpp](https://github.com/waldo-
irc/YouMayPasser/blob/master/Lockd/Lockd/Sleep.cpp)_https://twitter.com/forrestorr
https://twitter.com/waldoirc
[ https://www.forrest-orr.net/post/malicious-memory-artifacts-part-i-dll-
hollowing](https://www.forrest-orr.net/post/malicious-memory-artifacts-
part-i-dll-hollowing)
acts-part-i-dll-
hollowing_](https://www.forrest-orr.net/post/malicious-memory-artifacts-
part-i-dll-hollowing)
如果你对网络安全入门感兴趣,那么你点击这里👉CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享
如果你对网络安全感兴趣,学习资源免费分享,保证100%免费!!!(嘿客入门教程)
👉网安(嘿客)全套学习视频👈
我们在看视频学习的时候,不能光动眼动脑不动手,比较科学的学习方法是在理解之后运用它们,这时候练手项目就很适合了。
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-7Pbge0ca-1692441155811)(data:image/gif;base64,R0lGODlhAQABAPABAP///wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw==)]编辑
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-rnIGvTAa-1692441155813)(data:image/gif;base64,R0lGODlhAQABAPABAP///wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw==)]编辑
👉网安(嘿客红蓝对抗)所有方向的学习路线****👈
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
学习资料工具包
压箱底的好资料,全面地介绍网络安全的基础理论,包括逆向、八层网络防御、汇编语言、白帽子web安全、密码学、网络安全协议等,将基础理论和主流工具的应用实践紧密结合,有利于读者理解各种主流工具背后的实现机制。
面试题资料
独家渠道收集京东、360、天融信等公司测试题!进大厂指日可待!
👉嘿客必备开发工具👈
工欲善其事必先利其器。学习嘿客常用的开发软件都在这里了,给大家节省了很多时间。
这份完整版的网络安全(嘿客)全套学习资料已经上传至CSDN官方,朋友们如果需要点击下方链接也可扫描下方微信二v码获取网络工程师全套资料【保证100%免费】
如果你有需要可以点击👉CSDN大礼包:《嘿客&网络安全入门&进阶学习资源包》免费分享
本文来自互联网用户投稿,文章观点仅代表作者本人,不代表本站立场,不承担相关法律责任。如若转载,请注明出处。 如若内容造成侵权/违法违规/事实不符,请点击【内容举报】进行投诉反馈!