致盲AV/EDR如360、腾讯管家、火绒、卡巴斯基
点击蓝字 关注我们
免责声明
本文发布的工具和脚本,仅用作测试和学习研究,禁止用于商业用途,不能保证其合法性,准确性,完整性和有效性,请根据情况自行判断。
如果任何单位或个人认为该项目的脚本可能涉嫌侵犯其权利,则应及时通知并提供身份证明,所有权证明,我们将在收到认证文件后删除相关内容。
文中所涉及的技术、思路及工具等相关知识仅供安全为目的的学习使用,任何人不得将其应用于非法用途及盈利等目的,间接使用文章中的任何工具、思路及技术,我方对于由此引起的法律后果概不负责。
添加星标不迷路
由于公众号推送规则改变,微信头条公众号信息会被折叠,为了避免错过公众号推送,请大家动动手指设置“星标”,设置之后就可以和从前一样收到推送啦
关于
删除AV/EDR Kernel ObRegisterCallbacks
CmRegisterCallback
MiniFilter Callback
PsSetWorking ProcessNotifyRoutine Callback
PsSetWorking ThreadNotifyRoutine Callback
PsSetLoadImageNotifyRoutine Callback.
RealBlindingEDR
利用带签名驱动的任意地址读/写实现:完全致盲、或杀死、或永久关闭 AV/EDR。
支持致盲/永久关闭:360 安全卫士、360 企业版、天擎V10、腾讯电脑管家、火绒/火绒企业版、卡巴斯基企业版、亚信EDR、Windows Defender。
注: 如果你有其他需要致盲的EDR产品可以发我安装包,我会根据情况实现。
当前已在64位的 Windows 7/10/11、Windows Server 2008R2/2012R2/2016/2019/2022 完成测试。如果你发现在某个版本有问题,可通过issue 反馈,我会进行适配。
简介
本项目实现了以下内核回调的清除:
删除
CmRegisterCallback(Ex)
注册的回调删除
MiniFilter微过滤器驱动
注册的回调删除
ObRegisterCallbacks()
注册的回调删除
PsSetCreateProcessNotifyRoutine(Ex)
注册的回调删除
PsSetCreateThreadNotifyRoutine(Ex)
注册的回调删除
PsSetLoadImageNotifyRoutine(Ex)
注册的回调
删除内核回调后,最终可实现以下3点效果:
致盲 AV/EDR
在保持AV/EDR 进程正常运行的情况下,使其无法监控任何进程/线程活动、任何文件落地、注册表删改、高权限句柄获取等众多敏感行为。(不直接Kill 是为了保证EDR 与总控保持通信,避免掉线导致被发现)
永久关闭或禁用 AV/EDR
由于删除了注册表和微过滤器内核通知回调,可以修改注册表或直接删除AV/EDR 文件的方式永久关闭AV/EDR(即使系统重启)。
Kill AV/EDR 进程
由于删除了对象句柄通知回调,现在能够以普通管理员用户权限结束AV/EDR 进程。
免责声明
本项目不针对任何AV/EDR 厂商,代码示例仅用于研究学习,不得进行恶意利用,如有恶意利用与本人无关。
使用方法
本项目支持两种驱动利用:dbutil_2_3.sys(支持win7及以上版本,但被杀软标记较多) 、echo_driver.sys(支持win10及以上版本)
使用echo_driver.sys 驱动进行致盲:
RealBlindingEDR.exe c:\echo_driver.sys 1
使用dbutil_2_3.sys 驱动进行致盲:
RealBlindingEDR.exe c:\dbutil_2_3.sys 2
程序执行完成后,代表致盲成功。如果你想要永久关闭杀毒软件或EDR,还需要使用taskkill命令结束其进程,然后删除此进程对应的可执行文件。
小技巧: 如果EDR标记了这些驱动文件,你可以尝试在不影响驱动签名的情况下,修改驱动文件的hash值。
注意: 目前这两个驱动在最新版Win11[10.0.22621.2506]上都已无法加载(证书被吊销,Error:c0000603)
预告: 即将发布第三个驱动利用程序,支持win7 - win11(最新版)。
效果
下面演示内容并不针对此AV 厂商,仅出于教育研究目的,绝大多数AV/EDR 厂商都能达到同样的效果。
Tips: 直接执行程序,就可以实现以下所有效果。
演示视频
删除AV/EDR 对象句柄监控,Kill AV进程
删除AV/EDR 注册表监控,删除AV注册表来实现永久关闭AV
删除文件落地监控和AV/EDR 自身文件保护,删除AV文件来实现永久关闭AV
待做
清空内核中Windows ETW事件提供者相关句柄。
尝试删除WFP相关回调。
...
致谢
感谢以下文章和项目,给我思路上的帮助。
OBREGISTERCALLBACKS AND COUNTERMEASURES
Windows Anti-Debug techniques - OpenProcess filtering
Mimidrv In Depth: Exploring Mimikatz’s Kernel Driver
Part 1: Fs Minifilter Hooking
EchoDrv
Windows Kernel Ps Callbacks Experiments
Silencing the EDR. How to disable process, threads and image-loading detection callbacks
Removing-Kernel-Callbacks-Using-Signed-Drivers
EchOh-No! a Vulnerability and PoC demonstration in a popular Minecraft AntiCheat tool
项目地址
https://github.com/myzxcg/RealBlindingEDR
欢迎关注SecHub网络安全社区,SecHub网络安全社区目前邀请式注册,邀请码获取见公众号菜单【邀请码】
联系方式
电话|010-86460828
官网|http://www.secevery.com
关注我们
公众号:sechub安全
哔哩号:SecHub官方账号