Kernel Karnage – 第 7 部分（走出实验室，回到现实）

本周我从实验室出来，戴上了一顶不同的帽子。

1. 切换帽子

Interceptor 成功使 $vendor2 失明，足以运行 meterpreter 反向 shell，现在是时候戴上红队帽子，离开完美的实验室环境了。为此，我不得不恢复在本系列开始时关闭的一些设置。

首先，我在目标 VM 上启用了安全启动并禁用了测试签名模式。安全启动将启用 Microsoft 的驱动程序签名强制 (DSE) 策略，该策略阻止加载非 WHQL 签名的驱动程序，其中包括我的 Interceptor 驱动程序。值得注意的是，我关闭了 HyperGuard (HVCI)，因为我目前无法击败基于虚拟化的保护。

驱动程序签名强制 (DSE) HyperGuard (HVCI)

配置目标后，我使用 Gmail Malleable C2 配置文件设置了 Cobalt Strike Teamserver，并配置了我的 EarlyBird shellcode 注入器以提供 HTTPS Beacon。我的想法是模拟这样一种场景：攻击者（我）设法在目标上站稳脚跟，并获得具有提升权限的植入物。然后，攻击者将使用植入物禁用受感染系统上的 DSE 并加载 Interceptor 驱动程序，所有这些都直接在内存中执行，以保持较低的占用空间。一旦 Interceptor 被加载到目标系统上，它就会破坏 EDR/AV 产品，并允许攻击者在不被发现的情况下运行 Mimikatz。

Cobalt Strike Gmail Malleable C2 配置文件 Beacon

当然，事情总是出乎意料。

2. 欺骗自己

我遇到的第一个问题是使用提升的权限执行我的 shellcode 注入器。无论我怎么尝试，似乎都无法使用提升的权限获得 Beacon 回调，因此我将我的问题提交给了 infosec Twitter，并在 @trickster012 的帮助下揭露了罪魁祸首。

infosec Twitter @trickster012

负责生成新的欺骗进程，然后将其用于注入 Beacon 有效负载的代码如下所示：

Spawn() HANDLE parentHandle 喜欢