2025攻防實(shí)戰(zhàn)策略剖析與對(duì)抗博弈

攻防實(shí)戰(zhàn)策略剖析與對(duì)抗博弈2025目錄01實(shí)戰(zhàn)攻擊手法歸納03進(jìn)攻體系新范式02應(yīng)用鏈vs攻擊面04端與流量防護(hù)逃逸實(shí)戰(zhàn)典型攻擊案例社工釣魚(yú) 瀏覽器密碼知識(shí)庫(kù)SSO郵箱組織架構(gòu)精準(zhǔn)釣魚(yú)域內(nèi)主機(jī)域控權(quán)限終端下發(fā)管理員主機(jī)權(quán)限登錄堡壘機(jī)控制托管主機(jī)靶標(biāo)權(quán)限橫向移動(dòng)OA新?lián)c(diǎn)業(yè)務(wù)分析探測(cè)重要系統(tǒng)重要數(shù)據(jù)卒QYS

0day

流量對(duì)抗卒端側(cè)對(duì)抗2023實(shí)戰(zhàn)攻擊歸納0day儲(chǔ)備立體化漏洞攻擊體系化、IT業(yè)務(wù)串（SSO

IAM

OA

ERP

CRM

PM

pan

SignDev...）漏洞組合巧妙化（告警無(wú)害化）社工釣魚(yú)精準(zhǔn)化社工釣魚(yú)人性化&需求吻合化，管理員系列精準(zhǔn)化供應(yīng)鏈攻擊具象化大小供應(yīng)鏈，大行業(yè)通用型、廠商推送類行業(yè)屬性類、數(shù)科運(yùn)維建設(shè)類、軟開(kāi)通用類...武器裝備定制化無(wú)特征、躲避監(jiān)控、攻擊效率、模擬白名單內(nèi)網(wǎng)攻擊集權(quán)化管理集權(quán)：堡壘機(jī)、AD域控、EDR總控、K8s...；后利用內(nèi)容集權(quán)：知識(shí)庫(kù)、OA、郵箱、網(wǎng)盤存儲(chǔ)...；后利用橫向移動(dòng)無(wú)感化集權(quán)產(chǎn)品后利用管理員化，設(shè)備研究底層化加密流量、認(rèn)證優(yōu)先、狡兔三窟關(guān)基業(yè)務(wù)熟練化邏輯結(jié)構(gòu)、曲線救國(guó)、跑馬圈地等實(shí)戰(zhàn)進(jìn)攻能力模型IT建設(shè)應(yīng)用鏈&攻擊面分析正常的一個(gè)業(yè)務(wù)流程處理應(yīng)用---登錄---認(rèn)證/校驗(yàn)---數(shù)據(jù)庫(kù)---業(yè)務(wù)數(shù)據(jù)OA/CMS---login---SSO/MFA---DLP---crypto【端點(diǎn)、落網(wǎng)、邊界、應(yīng)用】正向思維Bypass看到什么應(yīng)用打什么應(yīng)用？打穿打透、卷地式包圍特定應(yīng)用對(duì)應(yīng)的攻擊手法-后利用體系化前提：有大量?jī)?chǔ)備；缺點(diǎn)：浪費(fèi)子彈逆向思維（業(yè)務(wù)視角）靶標(biāo)是什么？（e.g.構(gòu)建機(jī)）這個(gè)目標(biāo)的路徑上有哪些可能的業(yè)務(wù)應(yīng)用優(yōu)點(diǎn)：相對(duì)精細(xì)后利用-體系化各應(yīng)用類型、維權(quán)后的下一步，例如nacos、集權(quán)進(jìn)攻體系新泛式（端&流量）整體攻擊鏈---端側(cè)攻擊鏈---端側(cè)防御原理==》逃逸方案攻擊者會(huì)產(chǎn)生各類行為動(dòng)作，其中90%的行為動(dòng)作在端上進(jìn)行端側(cè)安全逃逸手法歸納API重寫動(dòng)態(tài)加載免殺殼偽造入口點(diǎn)SMC細(xì)粒度分段加密盡可能降低“危險(xiǎn)值”…靜態(tài)文件逃逸shellcode內(nèi)存加密/自解密運(yùn)行線程堆棧欺騙干擾語(yǔ)義分析引擎虛擬機(jī)殼內(nèi)存特征逃逸syscall脫鉤反射DLL注入進(jìn)程注入進(jìn)程行為逃逸R3高權(quán)限句柄R3

DOS漏洞R0白簽名驅(qū)動(dòng)R0白簽名驅(qū)動(dòng)任意地址寫漏洞巧妙利用虛擬化WCIFEDR致盲靜態(tài)逃逸-細(xì)粒度分段加密靜態(tài)，對(duì)抗信息熵，對(duì)需要保護(hù)的代碼/數(shù)據(jù)片段進(jìn)行加密，以破壞可讀性。同時(shí)還不能顯著增加信息熵【概率】。方法：每隔480字節(jié)加密48字節(jié)，在破壞加密區(qū)域代碼可讀性的同時(shí)，不會(huì)顯著增加信息熵。OEP解密功能代碼還原加密部分OEP解密功能代碼內(nèi)存特征逃逸-線程堆棧欺騙KernelBase!SleepEx

和ntdll.dll!NtDelayExecution

是beacon處于睡眠狀態(tài)的標(biāo)志0x22d6bd5bd51，堆棧遍歷尚未解析此地址的符號(hào)----虛擬內(nèi)存【此地?zé)o銀三百兩】利用對(duì)Sleep的hook，在shellcode進(jìn)入休眠狀態(tài)后將線程的返回地址改成0，然后在hook中執(zhí)行剛剛被跳過(guò)的休眠，休眠結(jié)束后需要短暫運(yùn)行shellcode時(shí)再把返回地址改回去。行為特征逃逸-Threadless

Process

Injection高級(jí)進(jìn)程注入總結(jié)Module

Stomping（有線程）Process

HollowingProcess

DoppelgangingTransacted

HollowingProcess

GhostingGhostly

HollowingProcess

Herpaderping…Threadless

Process

Injection（組合跨進(jìn)程內(nèi)存分配，hook

DLL導(dǎo)出函數(shù)）把shellcode和hook代碼寫在代碼空隙中，然后將一個(gè)正常加載的dll的某個(gè)一定會(huì)被調(diào)用的方法的句柄patch掉。被動(dòng)等待它調(diào)用就可以了。VS

Module

Stomping

區(qū)別就是沒(méi)有起新線程Hook

+

shellcode泛EDR

致盲技術(shù)歸納終端程序均可通過(guò)以下方法致盲R3利用高權(quán)限句柄；遍歷偽句柄表，找到擁有EDR進(jìn)程高權(quán)限句柄的程序DOS；（

MinimumStackCommitInBytes

）R0白簽名驅(qū)動(dòng)ZwTerminateProcess（驅(qū)動(dòng)自帶的終止進(jìn)程）白簽名驅(qū)動(dòng)任意地址寫漏洞巧妙利用虛擬化Windows

Container

Isolation

Framework典型致盲技術(shù)-白簽名驅(qū)動(dòng)任意地址讀寫利用任意地址讀寫的驅(qū)動(dòng)來(lái)清除內(nèi)核中殺軟驅(qū)動(dòng)注冊(cè)的回調(diào)函數(shù)，從而致盲殺軟的部分功能獲取ntoskrnl.exe基地址定位PspSetCreateProcessNotifyRoutine函數(shù)地址獲取Pspsetcreateprocessnotifyroutine

函數(shù)的偏移地址獲取PspCreateProcessNotifyRoutineArray

數(shù)組地址定位所有注冊(cè)進(jìn)程回調(diào)的驅(qū)動(dòng)利用DriverReadMemery()，清除全部驅(qū)動(dòng)的進(jìn)程回調(diào)流量側(cè)檢測(cè)維度與逃逸手段目的：在流量側(cè)不好發(fā)現(xiàn)惡意流量（https看不懂）發(fā)現(xiàn)了是惡意流量，也（短期）阻止不了流量側(cè)檢測(cè)維度與逃逸手段DOH應(yīng)用場(chǎng)景域名請(qǐng)求過(guò)程中，保護(hù)CDN的域名