长亭百川云 - 文章详情

CrimsonEDR:一款恶意软件模式识别与EDR策略评估工具

Alpha_h4ck

74

2024-07-01


关于CrimsonEDR****

CrimsonEDR是一个功能强大的开源项目,该项目旨在帮助广大研究人员识别特定的恶意软件模式,以此来优化终端检测与响应(EDR)的策略方案。通过使用各种不同的检测方案,可以加深开发人员与研究人员加深对安全规避策略的理解。

功能介绍


工具安装

首先,我们需要使用下列命令安装该工具所需的依赖组件:

sudo apt-get install gcc-mingw-w64-x86-64

接下来,广大研究人员可以直接使用下列命令将该项目源码克隆至本地:

git clone https://github.com/Helixo32/CrimsonEDR

然后切换到项目目录中,并使用下列命令完成代码编辑:

cd CrimsonEDR;
chmod +x compile.sh;
./compile.sh

工具使用

确保ioc.json文件位于正在监视的可执行文件的启动目录中。比如说,如果你想要监控的可执行程序位于C:\Users\admin\,则DLL会尝试在C:\Users\admin\ioc.json路径下寻找ioc.json。当前版本的ioc.json包含与msfvenom相关的模式,我们可以根据自己的需求进行修改,格式如下:

{
"IOC": [
["0x03", "0x4c", "0x24", "0x08", "0x45", "0x39", "0xd1", "0x75"],
["0xf1", "0x4c", "0x03", "0x4c", "0x24", "0x08", "0x45", "0x39"],
["0x58", "0x44", "0x8b", "0x40", "0x24", "0x49", "0x01", "0xd0"],
["0x66", "0x41", "0x8b", "0x0c", "0x48", "0x44", "0x8b", "0x40"],
["0x8b", "0x0c", "0x48", "0x44", "0x8b", "0x40", "0x1c", "0x49"],
["0x01", "0xc1", "0x38", "0xe0", "0x75", "0xf1", "0x4c", "0x03"],
["0x24", "0x49", "0x01", "0xd0", "0x66", "0x41", "0x8b", "0x0c"],
["0xe8", "0xcc", "0x00", "0x00", "0x00", "0x41", "0x51", "0x41"]
]
}

然后使用下列参数执行CrimsonEDRPanel.exe:

-d <path_to_dll>:指定CrimsonEDR.dll文件的路径;
-p <process_id>:指定需要注入DLL的目标进程PID;

运行命令样例如下:

.\CrimsonEDRPanel.exe -d C:\Temp\CrimsonEDR.dll -p 1234

许可证协议

Windows Defender 和其他防病毒程序可能会将该 DLL 标记为恶意程序,因为其包含用于验证 AMSI 是否包含补丁字节的内容。因此在使用CrimsonEDR时,请确保将 DLL 列入白名单或暂时禁用防病毒软件,以避免任何中断。

工具使用演示


项目地址

CrimsonEDR:

https://github.com/Helixo32/CrimsonEDR

【FreeBuf粉丝交流群招新啦!

在这里,拓宽网安边界

甲方安全建设干货;

乙方最新技术理念;

全球最新的网络安全资讯;

群内不定期开启各种抽奖活动;

FreeBuf盲盒、大象公仔......

扫码添加小蜜蜂微信回复「加群」,申请加入群聊】

https://pre.empt.blog/2023/windows-processes-nefarious-anomalies-and-you

https://maldevacademy.com/







相关推荐
关注或联系我们
添加百川云公众号,移动管理云安全产品
咨询热线:
4000-327-707
百川公众号
百川公众号
百川云客服
百川云客服

Copyright ©2024 北京长亭科技有限公司
icon
京ICP备2024055124号-2