Skrull Like A King:從重兵看守的天眼防線殺出重圍

The king is dead、long live the king!在雲端偵測技術成為標配後的現代防毒產品之監控防線猶如天眼般強大——除了能以多層次的監控有效的定位出具有潛在威脅的程式文件,還能以上帝視角俯視程式文件的流向,並回傳樣本給研究員與分析模型 達到有效的即時阻止惡意文件擴散至更多受害者設備。因此對惡意程式設計者而言,在這場貓捉老鼠的遊戲中能否在 Post Exploitation 階段生存的長久便是最主要的挑戰。

目前野外攻擊技術已有許多耳熟能詳的技巧應運而生,例如啟動項目投毒、劫持 COM 項目或採用系統級 Rookit 來隱匿後門;不過當前卻未發展出任何後門保護技巧能做到即使「整支程式文件被回傳給研究人員」也完全無法被分析的防護。

想像一個場景:倘若惡意程式獲得了「數位防盜拷防護」的裝甲、只要被安裝到受害者機器後,一但被回傳到資安公司上就會自動損毀、完全無法執行與分析,那事情會變得如何呢 ;)?

在本議程中將從 Process Doppelgänging 技巧與變種手法開始說起,並釋出一種全新的 Unlink 攻擊手法得以使惡意程式達成 無檔案攻擊、偽造自身數位簽章、甚至是武裝自身為無法被研究員拷貝與分析。