图片来源:M4v3r1ck
在一个不断发展的网络安全格局中,威胁日益复杂,对终端检测和响应(EDR)系统的关注变得更为关键。然而,在一项新研究中,网络安全研究人员Hélvio Júnior,也被称为 M4v3r1ck,引入了一种挑战这些安全措施根基的新技术。被称为“HookChain”的这种创新方法提供了一个新的绕过 EDR 解决方案的视角, 揭示了今天先进安全框架中仍然存在的漏洞。
HookChain 将规避艺术提升到一个新水平,通过将几种众所周知的技术结合成一个连贯的策略,完全在用户模式下运行。通过利用导入地址表(IAT)挂钩、动态系统服务号(SSN)解析和间接系统调用的组合,HookChain 有效地规避了 EDR 系统采用的监控机制,这些机制专注于 Ntdll.dll 库。该库是遥测收集的关键点,并作为访问操作系统内核之前的最后屏障。HookChain 的精妙之处在于它能够重新路由 Windows 子系统的执行流程,而无需修改应用程序或恶意软件的源代码,使其活动几乎无法被传统 EDR 解决方案检测到。
研究突出了 HookChain 如何在 94%的测试 EDR 解决方案中逃避检测。在分析的 16 个 EDR 产品中,只有一个展示了超出 Ntdll.dll 层的 IAT 中的 hook,而 50%的解决方案在用户模式中根本没有 hook。这一惊人的发现强调了 EDR 开发人员需要重新思考他们对安全性的方法,因为目前的解决方案可能并非像之前想象的那样坚不可摧。
图像来源:M4v3r1ck
HookChain 的核心是一种精心设计的技术,它从使用 Halo's Gate 等方法动态映射 SSN 开始。然后,它继续预加载关键的 DLL 并在诸如 Kernel32、Kernelbase 等关键系统库中实现 IAT 钩子。结果是一种规避方法,不仅可以绕过 EDR 监控,而且对系统性能影响最小,使调用堆栈遥测保持不变。这使得 HookChain 可以在低调下运行,有效地使 EDR 的检测机制无效。
Hélvio Júnior 的 HookChain 研究对网络安全行业起到了警示作用。它表明,即使是最先进的 EDR 解决方案也并非万无一失,攻击者继续以超越当前防御措施的方式进行创新。这项研究不仅证明了网络对手的创造力,也呼吁网络安全社区制定更强大和适应性更强的安全措施,以应对这些复杂的技术。
随着这项研究引起关注,预计网络安全公司将需要迅速适应以应对 HookChain 可能带来的威胁。与此同时,在GitHub上发布利用代码使这种技术能够被更广泛的受众使用,凸显了网络安全社区需要做出响应的紧迫性。
1HookChain 项目地址: 2https://github.com/helviojunior/hookchain/
详细介绍文章地址:
https://github.com/helviojunior/hookchain/blob/main/HookChain_en_v1.5.pdf