2025攻防實戰(zhàn)策略剖析與對抗博弈

攻防實戰(zhàn)策略剖析與對抗博弈2025目錄01實戰(zhàn)攻擊手法歸納03進攻體系新范式02應(yīng)用鏈vs攻擊面04端與流量防護逃逸實戰(zhàn)典型攻擊案例社工釣魚 瀏覽器密碼知識庫SSO郵箱組織架構(gòu)精準(zhǔn)釣魚域內(nèi)主機域控權(quán)限終端下發(fā)管理員主機權(quán)限登錄堡壘機控制托管主機靶標(biāo)權(quán)限橫向移動OA新?lián)c業(yè)務(wù)分析探測重要系統(tǒng)重要數(shù)據(jù)卒QYS

0day

流量對抗卒端側(cè)對抗2023實戰(zhàn)攻擊歸納0day儲備立體化漏洞攻擊體系化、IT業(yè)務(wù)串（SSO

IAM

OA

ERP

CRM

PM

pan

SignDev...）漏洞組合巧妙化（告警無害化）社工釣魚精準(zhǔn)化社工釣魚人性化&需求吻合化，管理員系列精準(zhǔn)化供應(yīng)鏈攻擊具象化大小供應(yīng)鏈，大行業(yè)通用型、廠商推送類行業(yè)屬性類、數(shù)科運維建設(shè)類、軟開通用類...武器裝備定制化無特征、躲避監(jiān)控、攻擊效率、模擬白名單內(nèi)網(wǎng)攻擊集權(quán)化管理集權(quán)：堡壘機、AD域控、EDR總控、K8s...；后利用內(nèi)容集權(quán)：知識庫、OA、郵箱、網(wǎng)盤存儲...；后利用橫向移動無感化集權(quán)產(chǎn)品后利用管理員化，設(shè)備研究底層化加密流量、認證優(yōu)先、狡兔三窟關(guān)基業(yè)務(wù)熟練化邏輯結(jié)構(gòu)、曲線救國、跑馬圈地等實戰(zhàn)進攻能力模型IT建設(shè)應(yīng)用鏈&攻擊面分析正常的一個業(yè)務(wù)流程處理應(yīng)用---登錄---認證/校驗---數(shù)據(jù)庫---業(yè)務(wù)數(shù)據(jù)OA/CMS---login---SSO/MFA---DLP---crypto【端點、落網(wǎng)、邊界、應(yīng)用】正向思維Bypass看到什么應(yīng)用打什么應(yīng)用？打穿打透、卷地式包圍特定應(yīng)用對應(yīng)的攻擊手法-后利用體系化前提：有大量儲備；缺點：浪費子彈逆向思維（業(yè)務(wù)視角）靶標(biāo)是什么？（e.g.構(gòu)建機）這個目標(biāo)的路徑上有哪些可能的業(yè)務(wù)應(yīng)用優(yōu)點：相對精細后利用-體系化各應(yīng)用類型、維權(quán)后的下一步，例如nacos、集權(quán)進攻體系新泛式（端&流量）整體攻擊鏈---端側(cè)攻擊鏈---端側(cè)防御原理==》逃逸方案攻擊者會產(chǎn)生各類行為動作，其中90%的行為動作在端上進行端側(cè)安全逃逸手法歸納API重寫動態(tài)加載免殺殼偽造入口點SMC細粒度分段加密盡可能降低“危險值”…靜態(tài)文件逃逸shellcode內(nèi)存加密/自解密運行線程堆棧欺騙干擾語義分析引擎虛擬機殼內(nèi)存特征逃逸syscall脫鉤反射DLL注入進程注入進程行為逃逸R3高權(quán)限句柄R3

DOS漏洞R0白簽名驅(qū)動R0白簽名驅(qū)動任意地址寫漏洞巧妙利用虛擬化WCIFEDR致盲靜態(tài)逃逸-細粒度分段加密靜態(tài)，對抗信息熵，對需要保護的代碼/數(shù)據(jù)片段進行加密，以破壞可讀性。同時還不能顯著增加信息熵【概率】。方法：每隔480字節(jié)加密48字節(jié)，在破壞加密區(qū)域代碼可讀性的同時，不會顯著增加信息熵。OEP解密功能代碼還原加密部分OEP解密功能代碼內(nèi)存特征逃逸-線程堆棧欺騙KernelBase!SleepEx

和ntdll.dll!NtDelayExecution

是beacon處于睡眠狀態(tài)的標(biāo)志0x22d6bd5bd51，堆棧遍歷尚未解析此地址的符號----虛擬內(nèi)存【此地?zé)o銀三百兩】利用對Sleep的hook，在shellcode進入休眠狀態(tài)后將線程的返回地址改成0，然后在hook中執(zhí)行剛剛被跳過的休眠，休眠結(jié)束后需要短暫運行shellcode時再把返回地址改回去。行為特征逃逸-Threadless

Process

Injection高級進程注入總結(jié)Module

Stomping（有線程）Process

HollowingProcess

DoppelgangingTransacted

HollowingProcess

GhostingGhostly

HollowingProcess

Herpaderping…Threadless

Process

Injection（組合跨進程內(nèi)存分配，hook

DLL導(dǎo)出函數(shù)）把shellcode和hook代碼寫在代碼空隙中，然后將一個正常加載的dll的某個一定會被調(diào)用的方法的句柄patch掉。被動等待它調(diào)用就可以了。VS

Module

Stomping

區(qū)別就是沒有起新線程Hook

+

shellcode泛EDR

致盲技術(shù)歸納終端程序均可通過以下方法致盲R3利用高權(quán)限句柄；遍歷偽句柄表，找到擁有EDR進程高權(quán)限句柄的程序DOS；（

MinimumStackCommitInBytes

）R0白簽名驅(qū)動ZwTerminateProcess（驅(qū)動自帶的終止進程）白簽名驅(qū)動任意地址寫漏洞巧妙利用虛擬化Windows

Container

Isolation

Framework典型致盲技術(shù)-白簽名驅(qū)動任意地址讀寫利用任意地址讀寫的驅(qū)動來清除內(nèi)核中殺軟驅(qū)動注冊的回調(diào)函數(shù)，從而致盲殺軟的部分功能獲取ntoskrnl.exe基地址定位PspSetCreateProcessNotifyRoutine函數(shù)地址獲取Pspsetcreateprocessnotifyroutine

函數(shù)的偏移地址獲取PspCreateProcessNotifyRoutineArray

數(shù)組地址定位所有注冊進程回調(diào)的驅(qū)動利用DriverReadMemery()，清除全部驅(qū)動的進程回調(diào)流量側(cè)檢測維度與逃逸手段目的：在流量側(cè)不好發(fā)現(xiàn)惡意流量（https看不懂）發(fā)現(xiàn)了是惡意流量，也（短期）阻止不了流量側(cè)檢測維度與逃逸手段DOH應(yīng)用場景域名請求過程中，保護CDN的域名