腾讯安全沙龙：高级威胁下的.Net安全防护建设

关于我Aboutme观沧海，顺丰科技成文实验室成员；主要聚焦Windows下的各类攻击方案，并实现对应的防护能力；顺丰xdr开发者之一；客串红队兼柯基饲养员。高级威胁下的.Net安全防护建设目录一、背景二、.Net渗透场景三、.Net实施优势四、对抗已知工具五、对抗未知威胁六、应用与展望背景初始权限：0day获取MachineKeyMachineKey+反序列化RCE目标行业：军工、量子、芯片后渗透：纯内存加载.Net程序集任务完成后立即卸载内存仅被捕获到冲锋Webshell及隧道其余均未取证暴露原因：固定4小时一次的心跳包网络侧而非EDR行为分析NightEagle（APT-Q-95）北美背景初始权限：已泄露的MachineKeyMachineKey+反序列化RCE目标行业：金融、制造业、零售后渗透：纯内存加载.Net程序集Godzilla+ViewState插件已知程序集：命令执行利用状态检测文件上传文件下载（未取证）反射加载器（未取证）TGR-CRI-0045未知背景此时此刻我在......相关检测思路能否用在.Net上？From：冲鸭安全.Net渗透场景生成反序列化链，IIS在解析过程中触发命令执行Webshell直接注入shellcodeWebshell&反序列化Microsoft.Powershell.Editor.dll反序列化链.Net渗透场景.Net程序集支持从远程拉取，以字节形式存储于内存后渗透内存加载拉取执行哥斯拉初始模块.Net渗透场景AssemblyLoad直接读取内存字节，并结合反射调用后渗透内存加载哥斯拉加载shellcode.Net实施优势EDR/HIDS常见关注点（包括但不限于）证书----------->Wintrust进程链----------->IIScmd/c落地文件----------->xx.aspx、xx.asp远程内存行为----------->AllocEx、ProtectEx堆栈----------->SleepMask从防守的角度思考.Net实施优势.Net对抗点IIS进程拥有微软签名内存加载PS引擎，执行命令无进程链反射是正常机制，业务也在使用JIT编译，堆栈差异明显方法未执行时，为RW属性的IL代码方法初次执行时由CLR开辟可执行属性内存，并将IL代码编译为机器码从攻击的角度思考程序集在内存中只是RW权限.Net实施优势实测结果大部分设备不具备可观的检测能力对抗已知工具捕获冰蝎上线模块信息从端侧考虑，基于ETW和已知特征识别行为监测对抗已知工具通杀已知Webshell工具无法上线，无法使用后渗透插件主动防御如何对抗未知威胁？全新的Webshell工具、反序列化0day···对抗未知威胁程序集文件解析基于国际标准ECMA-335设计符合PE文件格式，但与常规PE文件有较大差别Metadata中包含所有的类、方法、属性、引用等说明信息仅执行时触发JIT编译中间语言的可读性较高静态解析转为动态指令分析程序集文件格式Metadata内容示例对抗未知威胁实现方案异常行为监测：Microsoft-Windows-DotNETRuntime异常进程监测：Microsoft-Windows-Kernel-Process实时介入

：ClrMD指令解析

：手搓指令解析器对抗未知威胁Microsoft-Windows-DotNETRuntimeEventID==80ExceptionStartEventID==82ClrStartWalkEventID==88ILStubGenerateEventID==135MethodLoadVerboseEventID==152LoaderModuleLoad触发异常识别后，动态解析目标进程内存.Net内存模型示例对抗未知威胁ClrMD微软官方调试库，支持不暂停介入分析与离线转储实时访问ClrRuntime、ClrHeap、ClrType，可动态查看调用栈、程序域简单的使用例子再加上一个指令分析模块，即可完成执行流的实时监测对抗未知威胁检测效果针对执行命令行的实时分析对抗未知威胁检测效果针对执行Mimikatz的实时分析对抗未知威胁检测效果针对加载Shellcode的实时分析对抗未知威胁反序列化异常信息反序列化触发时，IIS解析触发类型异常对抗未知威胁回溯异常堆栈危险异常触发时，回溯关键堆栈，扫描指令内容对抗未知威胁检测效果针对反序列化攻击的实时分析应用与展望离线版本实测结果无视具体漏洞类型，命中指令分析规则即可发出告警，只关注攻击者行为。检出率显著优于现有防护设备管理员权限即可部署，无需驱动，无需签名证书，服务不必重启，部署后立即生效本地离线应急版本命名为BeanNetCake使用相同样本的实测结果常态CPU消耗<1%，应急时CPU消耗<5%（6核心）应用与展望在线版本部署场景应用与展望结合运营应对威胁攻击监测与防护建设流程应用与展望下一轮对抗点程序集代理执行：也称为模块踩踏，与C程序不同，需要确认方法未被执行，否则会被CLR编译为机器码围绕CLR本身的对抗手段：通过CLRProfiling技术，实现类似