Elastic EDR规则检测下的对抗技术详解<\/h1>

1. 背景与基本原理<\/h2>
Elastic EDR通过ETWti进行栈回溯检测可疑的DLL加载行为，特别是对网络相关DLL(如ws2_32.dll、winhttp.dll、wininet.dll)的加载会进行严格监控。<\/p>

正常加载与恶意加载的栈回溯区别<\/h3>

正常加载<\/strong>：调用栈显示从合法模块(如kernel32.dll)发起<\/li>

恶意加载(C2不做规避)<\/strong>：调用栈显示从未备份内存(unbacked memory)发起<\/li> <\/ul>
2. Elastic EDR检测规则分析<\/h2>
检测规则位于：<\/p>
https:\/\/github.com\/elastic\/protections-artifacts\/blob\/main\/behavior\/rules\/windows\/defense_evasion_network_module_loaded_from_suspicious_unbacked_memory.toml <\/code><\/pre> 规则特点：<\/p> 标记了一系列敏感DLL<\/li> 回溯调用栈进行匹配检测<\/li> 对特定调用链模式进行告警<\/li> <\/ul> 3. 绕过技术详解<\/h2> 3.1 BRC4代理加载方法(已修复)<\/h3> 原始方法<\/strong>：<\/p> 通过代理加载敏感DLL<\/li> 参考：https:\/\/0xdarkvortex.dev\/proxying-dll-loads-for-hiding-etwti-stack-tracing\/<\/li> <\/ul> 问题<\/strong>：<\/p> 调用链中仍包含kernelbase.dll<\/li> 符合Elastic的查杀模式<\/li> <\/ul> 改进方法<\/strong>：<\/p> 移除调用链中的kernelbase.dll<\/li> 使调用栈看起来更合法<\/li> <\/ul> 3.2 PreLoad技术<\/h3> 实现方式<\/strong>：<\/p> 在正常EXE中预先加载DLL<\/li> 在UDRL(Unhooked Direct Remote Loading)中判断是否已加载<\/li> 分叉执行流<\/li> <\/ol> 优势<\/strong>：<\/p> 调用栈完全合法<\/li> 不会出现未备份内存的痕迹<\/li> <\/ul> 3.3 SpoofCall(堆栈欺骗)<\/h3> 注意事项<\/strong>：<\/p> Elastic有针对堆栈欺骗的检测<\/li> 需要额外绕过措施<\/li> <\/ul> 3.4 Module Stomping技术<\/h3> 效果<\/strong>：<\/p> 使用UDRL模式时<\/li> 栈回溯显示为合法模块(如Chakra.dll)<\/li> <\/ul> 3.5 DNSBeacon取巧<\/h3> 原理<\/strong>：<\/p> 使用DNSAPI.dll(不在规则列表中)替代敏感DLL<\/li> 寻找已导入ws2_32.dll的白文件进行patch<\/li> <\/ul> 缺点<\/strong>：<\/p> DNS上线方式性能较差<\/li> 执行拖取lsass、截图等操作速度慢<\/li> A记录查询模式尤其缓慢<\/li> <\/ul> 3.6 UrlDownloadToFileA方法<\/h3> 实现参考<\/strong>：<\/p> 菊师傅在Kcon的分享思路<\/li> AtomLdr项目中的技术<\/li> <\/ul> 具体API<\/strong>：<\/p> UrlMon.dll中的UrlDownloadToFileA<\/li> <\/ul> 优势<\/strong>：<\/p> 帮助加载DLL而不触发告警<\/li> Elastic EDR不会对此行为告警<\/li> <\/ul> 3.7 APC技术<\/h3> 基本原理<\/strong>：<\/p> 创建一条可告警线程<\/li> 插入APC(异步过程调用)<\/li> 让当前线程处于可告警状态执行APC函数<\/li> <\/ol> 技术细节<\/strong>：<\/p> 使用(HANDLE)-2<\/code>表示当前线程<\/li> 调用KiUserApcDispatcher<\/li> <\/ul> 效果<\/strong>：<\/p> 调用栈中存在未备份内存但不匹配规则<\/li> 绕过直接LoadLibrary的两个告警<\/li> <\/ul> 3.8 签名利用<\/h3> 观察<\/strong>：<\/p> Elastic规则中有许多排除项<\/li> 即使调用栈回溯显示未备份内存，特定签名也不会被查杀<\/li> <\/ul> 4. 其他注意事项<\/h2> Elastic EDR还有以下严格检测规则需要应对：<\/p> 进程注入检测<\/li> API调用序列监控<\/li> 异常行为分析<\/li> <\/ul> 5. 总结<\/h2> 本文详细介绍了多种绕过Elastic EDR DLL加载检测的技术，包括但不限于：<\/p> 代理加载优化<\/li> 预加载技术<\/li> 模块替换<\/li> DNS Beacon技巧<\/li> URL下载API利用<\/li> APC线程技术<\/li> 签名白名单利用<\/li> <\/ul> 对抗EDR是一个持续的过程，随着检测技术的更新，绕过技术也需要不断创新。读者可以基于这些基础技术发展出更多变种方法。<\/p>

Elastic EDR规则检测下的对抗技术详解<\/h1>

1. 背景与基本原理<\/h2> Elastic EDR通过ETWti进行栈回溯检测可疑的DLL加载行为，特别是对网络相关DLL(如ws2_32.dll、winhttp.dll、wininet.dll)的加载会进行严格监控。<\/p>

3. 绕过技术详解<\/h2>

1. 背景与基本原理<\/h2>
Elastic EDR通过ETWti进行栈回溯检测可疑的DLL加载行为，特别是对网络相关DLL(如ws2_32.dll、winhttp.dll、wininet.dll)的加载会进行严格监控。<\/p>