1、基于一线作战视角的现代EDR对抗研究苏大江 微步在线红队业务线负责人网络安全的本质在对抗，对抗的本质在攻防两端能力较量。Defenders think in lists.Attackers think in graphs.Attackers win.微步红队业务线负责人前美团蓝军技术负责人八年一线红队实战经验关于我01EDR原理分析一线作战视角0203对抗研究下一代绕过技术04EDR原理分析01.EDR是什么？有什么功能？5功能定义目的终端威胁检测与响应技术（Endpoint Detetion And Response，EDR）是一种新型的、智能化和快速迅捷的主动防御技术，该技术遵循Gartn

2、er“预测、防护、检测和响应”的技术体系，作用贯穿安全事件发生的全过程。EDR实时监测终端上发生的各类行为，采集终端运行状态，在后端通过大数据安全分析、机器学习、沙箱分析、行为分析、机器学习等技术，提供深度持续监控、威胁检测、高级威胁分析、调查取证、事件响应处置、追踪溯源等功能。第一时间检测并发现恶意活动，包括已知和未知威胁，并快速智能地做出响应，全面赋予终端主动、积极的安全防御能力。EDR架构设计分析5端侧AGENT后台服务网络连接通信协议检测规则分析准备工作5Windows内核在分析EDR的工作原理之前，我们需要对Windows内核有一个基本的了解。在Windows体系结构中，有两种模式分

3、别是用户模式（Ring3）和内核模式（Ring0）。拆分的原因是为了保护关键的Windows功能不被用户或用户态应用程序篡改。如果用户能够直接修改windows内核，将会带来巨大的安全隐患，如果关键功能被篡改，则可能会导致关键错误并导致系统崩溃。分析准备工作5PatchGuardPatchGuard是Windows Vista的内核保护系统，防止任何非授权软件试图“修改”Windows内核，作用是有效防止内核模式驱动改动。PatchGuard能够有效防止内核模式驱动改动或替换Windows内核的任何内容，第三方软件将无法再给Windows Vista内核添加任何“补丁”。此功能把大部分杀毒软件

4、和EDR挤出内核hook。SYSCALL系统直接调用与Linux类似，每个系统调用都有一个代表它的特定数字。该数字表示系统服务调度表（SSDT）中的一个条目，该表是内核中的一个表，其中包含对各种内核级功能的各种引用。每个命名的本机API都有一个匹配的syscall编号，该编号具有相应的SSDT条目。分析准备工作5Windows驱动很多情况下，应用程序需要访问内核中受保护的数据，需要使用相应的驱动程序。驱动程序有不同的类型，例如硬件驱动和软件驱动。大多数EDR都加载了驱动，以便访问内核，同时提高对用户态进程的可见性。虽然驱动程序可以在内核模式下运行，但它们仍然受到PatchGuard的限制，他们

5、无法在不使系统崩溃的情况下修补受保护的内存。内核回调内核回调可以让驱动程序可以注册“回调”，并在传递特定操作时发出通知，内核回调不会对基础Windows内核进行任何修改。这些回调的常见实现是PsSetCreateProcessNotifyRoutine（Ex），经典的进程信息过滤器。EDR为了“可见性”做了哪些操作？7内核回调DLL注入（hooking/patching）重定向执行流EDR获取“可见性”-内核回调操作5通过内核回调对进程信息进行过滤和流程牵引EDR获取“可见性”-DLL注入操作（HOOK）5PatchGuard导致只能在用户态获取信息EDR获取“可见性”-修改执行流5通过修改函

6、数执行流程达到检查参数、修改参数、改变程序执行流程等目的一线作战视角02.一线作战视角5红队作战的目的是什么？无感隐匿完成任务拿到关键靶标获取关键数据进行EDR对抗的目的是什么？实现在终端侧的无感知、弱感知 防止告警阻断 保证进一步深入攻击对抗研究03.架构设计中的对抗分析5网络层面对抗Agent生存对抗通信协议对抗1、为了稳定性、兼容业务和客户环境，在用户态运行。-对抗手段：直接kill掉进程即可。2、高权限情况下运行。-对抗手段：提权kill，通过BYPASSUAC、内核漏洞、加驱动、绕过KPP（EPTHOOK）等。直接阻断EDR和服务端进行通信，瞬间致盲。网络阻断导致采集的日志无法回传给

7、服务端去做分析研判告警。协议复用伪造心跳伪造日志多见于自研EDR技术实现中对抗分析5sysmon系统监视器(Sysmon)是一种 Windows 系统服务和设备驱动程序，一旦安装在系统上，就会在系统重启后保持驻留状态，以监视系统活动并将其记录到 Windows 事件日志。它提供有关进程创建、网络连接和文件创建时间更改的详细信息。通过使用 Windows 事件收集 或 SIEM 代理收集它生成的事件并随后对其进行分析，可以识别恶意或异常活动，并了解入侵者和恶意软件如何在网络上运行。请注意，Sysmon 不提供其生成的事件的分析，也不会尝试保护或隐藏自身免受攻击者的攻击。1、停止驱动服务、停止驱动

8、服务2、卸载服务、卸载服务技术实现中对抗分析5DLL注入（HOOK）1、重载NTDLL2、直接使用SYSCALLhttps:/ Hollowing 模块镂空2、幽灵内存加载https:/www.forrest- setup.exe6、白名单目录7、白名单进程暴力美学 实用为王5 直接干掉Agent 直接阻断通讯 复制粘贴修改 自实现cmd混淆 RDP多开直接RDP装火绒 送你驱动 送你ARK套餐暴力美学 实用为王5 杀软 VS EDR 驱动白利用（BYOVD）https:/ SSO登录wiki系统 发现VPN账号密码泄露 进入内网业务系统发掘储存型XSS漏洞水坑投毒 获取关键人员终端权限 致盲

9、EDR 抓取浏览器Cookie登录靶标系统通过白名单目录致盲EDR是后续成功登录靶标的基础下一代绕过技术04.计算机平行宇宙魔法对抗EDR5tinycore体积小：11MB速度快：QEMU秒启动支持GUI：支持VNC图形化界面操作QEMU仿真器用户模式仿真：允许一个（Linux）进程执行在不同架构的CPU上，该模式下，QEMU 可以作为进程级虚拟机。系统模式仿真：允许仿真完整的系统，包括处理器和配套的外设，该模式下，QEMU 也可以作为系统虚拟机计算机平行宇宙魔法对抗EDR5QEMU+tinycore 产生的化学反应1、创建磁盘镜像 qemu-img create-f qcow2 D:VMQEMU-spacetinycore.qcow2 1G2、安装系统 qemu-system-i386-enable-kvm-hda D:VMQEMU-spacetinycore.qcow2-cdrom D:OSTinyCore-current.iso-boot d-m 1024-vnc:1创新玩儿法：远程加载磁盘通常使用VM磁盘映像的最佳方法是在本地使用，但是qemu还通过与诸如SSH等不同协议的网络共享来支持远程磁盘映像。qemu-system-x86_64-drive file=ssh:/ you