参考文章:Dvide and Conquer、Divide and Conquer - A technique to bypass NextGen AV
现在基于API调用顺序(函数执行链)来执行检测是很常用的手法,常见的行为检测会有监控堆栈的调用链和hook API记录行为,看到有博客分享了一种通过不同进程分离执行API来绕过基于行为得AV检测的方法。
监控通过两种方式实现:
- 在内核级别有一些监控,但 在Windows 并不是很友好。对于文件和注册表操作或进程加载,只能执行一组有限的回调。不能通用地监控 API 调用,如果是 AV 供应商,这是一个大问题。
- 由于这些限制,每个 AV 都会在用户模式下放置挂钩,通常在 ntdll 中,但也会在许多其他地方,通常在被恶意软件滥用的 API 中。反病毒产品的DLL是从内核模式强制进入我们的进程的,所以我们无法真正绕过它。
流程
- 首先创建NotePad这个傀儡进程
- 分配内存并标记为RWX,将shellcode写到该内存中
- 创建同文件进程并传入PID作为进程参数
- 通过PID打开傀儡句柄
- 创建远程线程运行shellcode
