红队技术-父进程伪装（MITRE ATT&CK框架：T1134）

 

概述

　父进程伪装是一种访问令牌操作技术，通过将恶意文件的指定为等合法进程的，可帮助攻击者规避启发式检测等防御技术。

　该伪装可通过使用本地调用来执行，该调用可帮助攻击者显式指定，如中的调用。正如我们将在本文中看到的那样，这种显式分配也可能具有某些附带好处。

　MITRE 战术：权限提升（TA0004）和 防御规避（TA0005）

　MITRE ATT&CK技术：T1134 ：Windows访问令牌模拟窃取以及利用

　子技术：T1134.004 ：访问令牌操作： 父 PID 欺骗

背景：

　子进程监控是威胁狩猎中最常见的指标之一。应急响应人员可能会分析如果  或  进程是从  或  等零相关的应用生成的，则表明可能存在潜在威胁。安全防护软件会在启发式检测下监控此行为，并向管理员发出警报。

　父欺骗方法可以绕过 检测，使其认为是  这样的合法进程在进行活动。它通过欺骗进程的  以匹配其父进程的  来做到这一点。这种方法可能带来的另一个好处是，如果父进程以  权限运行，则可以凭借访问令牌的继承，使其子进程也具有相同的  权限。

进程、PID和PPID

　进程：在  中，应用程序由一个或多个进程组成。简单来说，当前正在运行的程序的一部分称为进程。不同的应用程序可能会使用相同的进程(如)，并且为避免歧义，会分配一个整数来区分一个进程和另一个进程。该整数称为。

　PID：代表进程标识符 ()，它是正在运行的进程的数字表示。  中通过  函数返回指定进程的 。

　父进程：父进程是可以派生多个子进程的进程。例如，命令将派生作为父进程的子进程。在代码中，父进程可以使用系统调用来派生子进程。

　PPID：代表父进程标识符()，它是提供给父进程的数字表示形式。任何包含子进程的进程都存在父子关系。

　方法一（使用C++程序进行PID欺骗）

　最初在这里的帖子中谈到了这种方法。还发布了一个用编写的利用程序(）。代码可以在这里下载：https://web.archive.org/web/20210225035252/http:/www.didierstevens.com/files/software/SelectMyParent_v0_0_0_1.zip

请注意，如果您使用的是更高版本的Visual Studio，可能需要重新生成此EXE。在Visual Studio2022中，我删除了Debug and Release文件夹中的SelectMyParent.pdb文件，并重新生成了项目以使其运行。

　在进程管理器中，你会看到  在  上运行

　因此，要在这个父 进程下运行我们自己的二进制文件，可以像这样使用 ，你会看到在 下创建了一个新进程。

　可以看到在启动了

　同样，我们也可以运行自己的。让我们先用创建一个可以反弹的

　在受感染端，使用查看进程运行详情。

　在列表中，可以看到进程以身份在进程上运行。

　然后运行生成的，并附属在的下

　监听端收到的便是进程用户的权限

　如果利用具有权限的进程，即可进行提权。

　方法二（使用Powershell DLL注入进行PID欺骗）

　 实验室利用  创建了替代上述 二进制文件的方案。它也可以用于父进程欺骗，与上述方法不同之处在于，可以将带有注入的的子进程派生为子进程，功能更强大。代码可以在这里下载https://github.com/countercept/ppid-spoofing，首先在受害者机器上查看进程，这里我们选择  的  作为父进程。

　利用生成要注入的

　然后进行注入：

　可以看到注入的在中加载执行了。

　通过这种方式，上的进程派生了一个带有插入代码(由提供)的。

　方法三（使用Powershell 脚本入进行PID欺骗）

　 根据  提供的指南开发了一个  脚本，使用了 方法，可以在此处找到的psgetsystem脚本:https://github.com/decoder-it/psgetsystem.git，可用于通过欺骗派生子进程。首先我们查看所需进程的 。这里以为例

　然后执行如下命令：

　如果报错，可能是的问题，需要先绕过，或者是权限过低，需要提权。

　绕过脚本可以在这里找到：https://github.com/samratashok/nishang/tree/master/Escalation

　然后下载所需的文件，然后执行命令

　可以看到在下成功创建了子进程，因为是权限，所以反弹也获取到了权限。

　方法四（使用C#程序进行PID欺骗）

　开发了项目，是上述技术的实现，可以在这里找到：https://github.com/py7hagoras/GetSystem.git

　在目标机上下载，然后执行

　注意：这里可能也需要绕过或者提权，不然执行不成功。

　方法五（通过PID欺骗注入Shellcode）

　 使用 开发了一个名为“ProcessInjection”的出色工具，它可以执行许多功能，包括通过  欺骗进行的进程注入。通过提供有效的 ，该工具会尝试使用  等原生 调用来欺骗 ，然后将代码注入其中。该工具支持 、 和  格式的 ，也可以选择 DLL 注入。工具在这里下载：https://github.com/3xpl01tc0d3r/ProcessInjection

　首先，使用创建一个代码

　然后在目标机中下载

　使用进行注入

　参数说明：

　/ppath：目标 EXE 的进程路径（需要注入进程的路径）

　/path：shellcode文件路径

　/parentproc：父进程名称，目标EXE应在此进程下生成

　/f：shellcode文件类型

　/t：注入技术

支持的五种注入方式：

　我们可以看到在下，而则在中执行。

　也可以进行注入

　其他工具

　https://github.com/Mr-Un1k0d3r/RemoteProcessInjection

　https://github.com/xpn/getsystem-offline

　https://github.com/hlldz/APC-PPID

　https://github.com/ewilded/PPID_spoof

　https://github.com/christophetd/spoofing-office-macro （VBA实现）

　在Metasploit中Meterpreter 可以使用命令或者后渗透模块也可以实现进程迁移。

　总结

　攻击者广泛使用该技术进行检测规避，并增加了应急响应人员检测IoC的时间。针对许多过时的和未打补丁的EDR解决方案，可以使用此技术轻松规避检测。通过本文，告诉大家在组织中应该使用最新的EDR解决方案以及在可以捕捉此类技术的优质产品中使用智能检测功能的重要性。

　更多靶场实验练习、网安学习资料，>”>请点击这里>>

文章知识点与官方知识档案匹配，可进一步学习相关知识网络技能树WAN技术PPP22106 人正在系统学习中

来源：合天网安实验室