CrimsonEDR:一款恶意软件模式识别与EDR策略评估工具

关于CrimsonEDR

CrimsonEDR是一个功能强大的开源项目,该项目旨在帮助广大研究人员识别特定的恶意软件模式,以此来优化终端检测与响应(EDR)的策略方案。通过使用各种不同的检测方案,可以加深开发人员与研究人员加深对安全规避策略的理解。

功能介绍

检测

描述

直接系统调用

检测直接系统调用的使用情况,恶意软件通常使用直接系统调用来绕过传统的 API 钩子。

NTDLL 解除钩子

识别尝试解除 NTDLL 库中的函数的钩子,这是一种常见的规避技术。

AMSI 补丁

通过字节级分析检测对反恶意软件扫描接口 (AMSI) 的修改。

ETW 补丁

检测 Windows 事件跟踪 (ETW) 的字节级更改,恶意软件通常会操纵这些更改来逃避检测。

PE Stomping

识别 PE(可移植可执行文件)Stomping

的实例。

反射型PE 加载

检测 PE 文件的反射加载,这是恶意软件用来避免静态分析的一种技术。

未备份线程来源

识别源自不受支持的内存区域的线程,这通常表示恶意活动。

未备份线程起始地址

检测起始地址指向未备份内存的线程,这是代码注入的潜在迹象。

API 钩子

在 NtWriteVirtualMemory 函数上放置一个钩子来监视内存修改。

自定义模式搜索

允许用户搜索 JSON 文件中提供的特定模式,从而有助于识别已知的恶意软件签名。

工具安装

首先,我们需要使用下列命令安装该工具所需的依赖组件:

sudo apt-get install gcc-mingw-w64-x86-64

接下来,广大研究人员可以直接使用下列命令将该项目源码克隆至本地:

git clone https://github.com/Helixo32/CrimsonEDR

然后切换到项目目录中,并使用下列命令完成代码编辑:

cd CrimsonEDR;chmod +x compile.sh;./compile.sh

工具使用

确保ioc.json文件位于正在监视的可执行文件的启动目录中。比如说,如果你想要监控的可执行程序位于C:\Users\admin\,则DLL会尝试在C:\Users\admin\ioc.json路径下寻找ioc.json。当前版本的ioc.json包含与msfvenom相关的模式,我们可以根据自己的需求进行修改,格式如下:

{"IOC": [["0x03", "0x4c", "0x24", "0x08", "0x45", "0x39", "0xd1", "0x75"],["0xf1", "0x4c", "0x03", "0x4c", "0x24", "0x08", "0x45", "0x39"],["0x58", "0x44", "0x8b", "0x40", "0x24", "0x49", "0x01", "0xd0"],["0x66", "0x41", "0x8b", "0x0c", "0x48", "0x44", "0x8b", "0x40"],["0x8b", "0x0c", "0x48", "0x44", "0x8b", "0x40", "0x1c", "0x49"],["0x01", "0xc1", "0x38", "0xe0", "0x75", "0xf1", "0x4c", "0x03"],["0x24", "0x49", "0x01", "0xd0", "0x66", "0x41", "0x8b", "0x0c"],["0xe8", "0xcc", "0x00", "0x00", "0x00", "0x41", "0x51", "0x41"]]}

然后使用下列参数执行CrimsonEDRPanel.exe:

-d <path_to_dll>:指定CrimsonEDR.dll文件的路径;-p <process_id>:指定需要注入DLL的目标进程PID;

运行命令样例如下:

.\CrimsonEDRPanel.exe -d C:\Temp\CrimsonEDR.dll -p 1234

注意事项

Windows Defender 和其他防病毒程序可能会将该 DLL 标记为恶意程序,因为其包含用于验证 AMSI 是否包含补丁字节的内容。因此在使用CrimsonEDR时,请确保将 DLL 列入白名单或暂时禁用防病毒软件,以避免任何中断。

工具使用演示

项目地址

CrimsonEDR:【GitHub传送门】

参考资料

Windows Processes, Nefarious Anomalies, And You | pre.empt

https://maldevacademy.com/

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/web/37670.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

SpringBoot入门实战:SpringBoot整合WebSocket

1.背景介绍 SpringBoot是一个快速开发的框架&#xff0c;它可以帮助我们快速开发Web应用程序。SpringBoot整合WebSocket是SpringBoot的一个组件&#xff0c;它可以帮助我们快速开发WebSocket应用程序。 WebSocket是一种新的协议&#xff0c;它可以让客户端和服务器之间建立持久…

MSYS2教程(windows环境下使用linux工具)

MSYS2教程(windows环境下使用linux工具) 1.msys2简介 MSYS2&#xff08;Minimal SYStem 2&#xff09;是一个集成了大量的GNU工具链、工具和库的开源软件包集合。它提供了一个类似于Linux的shell环境&#xff0c;可以在Windows系统中编译和运行许多Linux应用程序和工具。 MS…

数据增强:目标检测算法的炼金术

数据增强&#xff1a;目标检测算法的炼金术 在目标检测领域&#xff0c;数据增强技术是一种提高模型泛化能力和性能的关键方法。通过数据增强&#xff0c;我们可以从现有的训练集中生成更多的训练样本&#xff0c;这些样本通过应用不同的变换来模拟真实世界中的多样性。本文将…

【网络安全】一文带你了解什么是【CSRF攻击】

CSRF&#xff08;Cross-Site Request Forgery&#xff0c;跨站请求伪造&#xff09;是一种网络攻击方式&#xff0c;它利用已认证用户在受信任网站上的身份&#xff0c;诱使用户在不知情的情况下执行恶意操作。具体来说&#xff0c;攻击者通过各种方式&#xff08;如发送恶意链…

excel修改批量一列单价的金额并保留1位小数

1.打开表格&#xff0c;要把单价金额变成现在的两倍&#xff0c;数据如下&#xff1a; 2.把单价这一列粘贴到一个新的sheet页面&#xff0c;在B2单元格输入公式&#xff1a;A2*2 然后按enter回车键,这时候吧鼠标放到B2单元格右下角&#xff0c;会出现一个黑色的小加号&#xf…

《信创数据库沙龙上海站:共话发展,智启未来》

2024 年 6 月 29 日周六 14:00&#xff0c;信创数据库沙龙在上海市徐汇区建国西路 285 号科投大厦 13 楼金星厅成功举办。本次活动吸引了众多学术界和产业界的专家、学者以及技术爱好者参与。 活动中&#xff0c;多位嘉宾带来了精彩分享。薛晓刚探讨了 Oracle 在国内的前景&a…

EAGLE-2:一种高效无损的推测性采样方法,提升LLM的推理速度。

欢迎关注我的公众号&#xff1a;Halo咯咯 01。概述 北京大学的研究人员联合微软研究院、滑铁卢大学以及Vector研究所共同推出了EAGLE-2&#xff0c;这是一种利用上下文感知的动态草图树来增强推测性采样的方法。EAGLE-2在先前的EAGLE方法基础上进行了改进&#xff0c;不仅显著…

python列表、元组、集合、字典整理

特征对比 下面是Python中列表、元组、集合和字典的特征对比表格&#xff1a; 特征列表 (List)元组 (Tuple)集合 (Set)字典 (Dictionary)定义符号[ ]( ){ }{ }可变性可变不可变可变可变有序性有序有序无序无序元素访问通过索引访问&#xff0c;索引从0开始通过索引访问&#x…

一个启动脚本例子

一、全部代码 #!/bin/bash DATE$(date %Y%m%d)SOURCE"abc.jar" TARGET"backup/abc.jar.jew.$DATE"if [ -f "$SOURCE" ]; thencp "$SOURCE" "$TARGET" firm -f abc.jar mv abc_1.jar abc.jarpidNumps -ef | grep $SOURCE |…

【源码+文档+调试讲解】基于vue的线上点餐系统

摘要 随着信息技术在管理上越来越深入而广泛的应用&#xff0c;管理信息系统的实施在技术上已逐步成熟。本文介绍了线上点餐系统的开发全过程。通过分析线上点餐系统管理的不足&#xff0c;创建了一个计算机管理线上点餐系统的方案。文章介绍了线上点餐系统的系统分析部分&…

电脑提示vcomp140.dll缺失怎么解决?vcomp140.dll是什么文件?

当你的电脑提示vcomp140.dll缺失的时候&#xff0c;你就应该要注意了&#xff0c;因为这个提示的出现&#xff0c;代表你的某个程序开不了&#xff01;想要程序能正常运行&#xff0c;那么只要修复好这个vcomp140.dll文件就可以了&#xff0c;下面我们就来给大家详细的说说说vc…

超详细之IDEA上传项目到Gitee完整步骤

1. 注册gitee 账号密码&#xff0c;gitee官网地址&#xff1a;Gitee官网&#xff0c;注册完成后&#xff0c;登录。 2. 创建仓库&#xff0c;在主页左下角有新建按钮&#xff0c;点击新建后会进入到此页面填写仓库信息。 3. 创建完成后复制仓库地址 4. 打开IntelliJ IDEA新建或…

python自动化之schedule

目录 代码&#xff08;以每5秒1次为例&#xff09;: 每5分钟1次 每2小时1次 每天18:00执行 用到的库&#xff1a;schedule&#xff0c;time 实现的效果&#xff1a;按秒来运行任务&#xff0c;按分钟来运行任务&#xff0c;按小时来运行任务&#xff0c;按天来运行任务 代…

鸿蒙3.0WebView网络错误问题

背景&#xff0c;荣耀9x&#xff0c;混淆才会出这个问题。 [ERROR:ssl_client_socket_impl.cc(981)] handshake failed; returned -1, SSL error code 1, net_error -2 NetError.java int SSLClientSocketImpl::DoHandshake() {crypto::OpenSSLErrStackTracer err_tracer(FRO…

Oracle新特性速递:未来数据库技术的无限可能

文章目录 一、自治数据库&#xff1a;智能化与自动化的革命二、机器学习集成&#xff1a;智能数据分析的新境界三、区块链技术&#xff1a;确保数据完整性与透明性四、云原生数据库&#xff1a;灵活扩展与快速部署五、人工智能优化器&#xff1a;智能查询执行计划《Oracle从入门…

centos7搭建zookeeper 集群 1主2从

centos7搭建zookeeper 集群 准备前提规划防火墙开始搭建集群192.168.83.144上传安装包添加环境变量修改zookeeper 的配置 192.168.83.145 和 192.168.83.146 配置 启动 集群 准备 vm 虚拟机centos7系统zookeeper 安装包FinalShell或者其他shell工具 前提 虚拟机安装好3台cen…

为什么我的Skype点数不见了?如何重新激活 Skype 点数?

您超过180天没有使用过点数打电话功能&#xff0c;点数暂时封存在您的账户里面&#xff0c;需要您手动激活&#xff08;目前必须要登录网页版skype&#xff09; 可再次使用。 如何重新激活 Skype 点数&#xff1f; 登录到你的帐户 . 选择 重新激活信用额度 .注意&#xff1a; …

MiniTest

1.编辑case文件first_test.py import minium class FirstTest(minium.MiniTest): def test_get_system_info(self): 2.编辑配置文件config.json { "project_path": "path/to/project", "dev_tool_path": "path/to/cli", "…

【Python】 Joblib:高效的Python作业调度和缓存工具

那年夏天我和你躲在 这一大片宁静的海 直到后来我们都还在 对这个世界充满期待 今年冬天你已经不在 我的心空出了一块 很高兴遇见你 让我终究明白 回忆比真实精彩 &#x1f3b5; 王心凌《那年夏天宁静的海》 在Python数据科学和机器学习中&#xff0c;处理…

喜讯!安全狗荣获“2023年网络安全技术支撑优秀单位”称号

6月6日&#xff0c;由中共厦门市委网络安全和信息化委员会办公室&#xff08;以下简称“厦门市委网信办”&#xff09;主办的2023年网络安全技术支撑优秀单位颁奖仪式在厦门成功举行。 作为国内云原生安全领导厂商&#xff0c;安全狗受邀出席此次活动。 会上&#xff0c;安全狗…