Windows 事件跟踪 (ETW) 是一项内置功能,最初设计用于执行软件诊断,如今 ETW 被EDR厂商广泛使用。对 ETW 的攻击会使依赖 ETW 遥测的一整类安全解决方案失效。研究禁用 ETW 的方法至关重要,因为这些攻击可能导致禁用依赖 ETW 以了解主机事件的整个 EDR 解决方案类别。更重要的是研究和开发检测 ETW 是否被篡改并通知到位的安全解决方案的方法。这也是现代EDR设计的一个缺陷,在此前去年的黑帽大会上也有介绍。
Process Monitor 是一个免费的行为分析软件,很多白帽用它对malware辅助分析,它的底层和EDR实现基本一致,在3.85版本之后使用的就是PROCMON TRACE 进行logo会话。
那么劫持它就好了,参考Binarly团队的hijack思路,对ProcessMon.exe 的监视联网回话进行Hijack。效果如下:
测试程序下载:
https://github.com/Hipepper/EtwHijacking-ProcessMon/blob/main/EtwHijacking-ProcessMon.exe
原文始发于微信公众号(TIPFactory情报工厂):ETW绕过PoC测试1–关闭你的ProcMon.exe
