国外安全研究员发现了2个具有微软签名的二进制文件可以进行 DLL 注入。
分别为:
inject_dll_amd64.exe
inject_dll_x86.exe
文件位于:
C:Program Files(x86)Microsoft Visual Studio2019CommunityCommon7IDEExtensionsMicrosoftPythonCoredebugpy_vendoredpydevdpydevd_attach_to_processgithub:
https://github.com/mrd0x/dll_inject_vs_binaries使用方法:
inject_dll_amd64.exe pid c:fullpathtodllmod.dll使用环境:
可以用来绕过一些EDR和安全终端产品进行Dll注入
例如:
很明显我们的DLl注入了目标进程中
同时cobaltstrike也上线了
绕过Cylance注入进程
可以看到目标进程加载了我们的Dll
同时在coablststrike中可以上线
TIPS:
可以在投放木马时作为某个阶段就行投放,配合某些手法我们可以不用DLL落地。更多手法可以基于实战来利用。
原文始发于微信公众号(黑白天实验室):DLL injection–LOLBIN
