2025攻防实战策略剖析与对抗博弈

攻防实战策略剖析与对抗博弈2025目录01实战攻击手法归纳03进攻体系新范式02应用链vs攻击面04端与流量防护逃逸实战典型攻击案例社工钓鱼 浏览器密码知识库SSO邮箱组织架构精准钓鱼域内主机域控权限终端下发管理员主机权限登录堡垒机控制托管主机靶标权限横向移动OA新据点业务分析探测重要系统重要数据卒QYS

0day

流量对抗卒端侧对抗2023实战攻击归纳0day储备立体化漏洞攻击体系化、IT业务串（SSO

IAM

OA

ERP

CRM

PM

pan

SignDev...）漏洞组合巧妙化（告警无害化）社工钓鱼精准化社工钓鱼人性化&需求吻合化，管理员系列精准化供应链攻击具象化大小供应链，大行业通用型、厂商推送类行业属性类、数科运维建设类、软开通用类...武器装备定制化无特征、躲避监控、攻击效率、模拟白名单内网攻击集权化管理集权：堡垒机、AD域控、EDR总控、K8s...；后利用内容集权：知识库、OA、邮箱、网盘存储...；后利用横向移动无感化集权产品后利用管理员化，设备研究底层化加密流量、认证优先、狡兔三窟关基业务熟练化逻辑结构、曲线救国、跑马圈地等实战进攻能力模型IT建设应用链&攻击面分析正常的一个业务流程处理应用---登录---认证/校验---数据库---业务数据OA/CMS---login---SSO/MFA---DLP---crypto【端点、落网、边界、应用】正向思维Bypass看到什么应用打什么应用？打穿打透、卷地式包围特定应用对应的攻击手法-后利用体系化前提：有大量储备；缺点：浪费子弹逆向思维（业务视角）靶标是什么？（e.g.构建机）这个目标的路径上有哪些可能的业务应用优点：相对精细后利用-体系化各应用类型、维权后的下一步，例如nacos、集权进攻体系新泛式（端&流量）整体攻击链---端侧攻击链---端侧防御原理==》逃逸方案攻击者会产生各类行为动作，其中90%的行为动作在端上进行端侧安全逃逸手法归纳API重写动态加载免杀壳伪造入口点SMC细粒度分段加密尽可能降低“危险值”…静态文件逃逸shellcode内存加密/自解密运行线程堆栈欺骗干扰语义分析引擎虚拟机壳内存特征逃逸syscall脱钩反射DLL注入进程注入进程行为逃逸R3高权限句柄R3

DOS漏洞R0白签名驱动R0白签名驱动任意地址写漏洞巧妙利用虚拟化WCIFEDR致盲静态逃逸-细粒度分段加密静态，对抗信息熵，对需要保护的代码/数据片段进行加密，以破坏可读性。同时还不能显著增加信息熵【概率】。方法：每隔480字节加密48字节，在破坏加密区域代码可读性的同时，不会显著增加信息熵。OEP解密功能代码还原加密部分OEP解密功能代码内存特征逃逸-线程堆栈欺骗KernelBase!SleepEx

和ntdll.dll!NtDelayExecution

是beacon处于睡眠状态的标志0x22d6bd5bd51，堆栈遍历尚未解析此地址的符号----虚拟内存【此地无银三百两】利用对Sleep的hook，在shellcode进入休眠状态后将线程的返回地址改成0，然后在hook中执行刚刚被跳过的休眠，休眠结束后需要短暂运行shellcode时再把返回地址改回去。行为特征逃逸-Threadless

Process

Injection高级进程注入总结Module

Stomping（有线程）Process

HollowingProcess

DoppelgangingTransacted

HollowingProcess

GhostingGhostly

HollowingProcess

Herpaderping…Threadless

Process

Injection（组合跨进程内存分配，hook

DLL导出函数）把shellcode和hook代码写在代码空隙中，然后将一个正常加载的dll的某个一定会被调用的方法的句柄patch掉。被动等待它调用就可以了。VS

Module

Stomping

区别就是没有起新线程Hook

+

shellcode泛EDR

致盲技术归纳终端程序均可通过以下方法致盲R3利用高权限句柄；遍历伪句柄表，找到拥有EDR进程高权限句柄的程序DOS；（

MinimumStackCommitInBytes

）R0白签名驱动ZwTerminateProcess（驱动自带的终止进程）白签名驱动任意地址写漏洞巧妙利用虚拟化Windows

Container

Isolation

Framework典型致盲技术-白签名驱动任意地址读写利用任意地址读写的驱动来清除内核中杀软驱动注册的回调函数，从而致盲杀软的部分功能获取ntoskrnl.exe基地址定位PspSetCreateProcessNotifyRoutine函数地址获取Pspsetcreateprocessnotifyroutine

函数的偏移地址获取PspCreateProcessNotifyRoutineArray

数组地址定位所有注册进程回调的驱动利用DriverReadMemery()，清除全部驱动的进程回调流量侧检测维度与逃逸手段目的：在流量侧不好发现恶意流量（https看不懂）发现了是恶意流量，也（短期）阻止不了流量侧检测维度与逃逸手段DOH应用场景域名请求过程中，保护CDN的域名