APT高级漏洞利用技术（论文资料）.pptxVIP

APT 高级漏洞利用技术 Who am I ? 真名:袁仁广 网名:yuange 360漏洞实验室主任 2008北京奥运会特聘信息安全专家 中国国家信息安全漏洞库特聘专家 98年发现win9x网络共享密码验证漏洞 20多年的安全对抗经验 要点 漏洞挖掘技术 漏洞利用技术 APT对抗时代 高级APT对抗技术 防护技术 漏洞挖掘技术 人工分析 程序自动化技术 Fuzzing技术 污点分析等 补丁比对技术 静态分析技术 动态分析技术 漏洞利用技术 设计原则 完美、和谐的标准： 满足各种网络需求 只要求目标存在漏洞 稳定、可重复，不影响目标系统 可扩展、可对抗 简单、通用、傻瓜化 对抗防火墙 数据通道技术 client -- proxy -- firewall --server ecb ecb-ReadClient ecb-WriteClient 查找socket getpeername查找socket 字串匹配查找socket 对抗防火墙 有线程recv的处理技术 wins: 1、shellcode hook closesocket 2、exploit发送错误数据，server关闭socket，shellcode拦截 rpc的端口复用技术 1、shellcode hook 服务的rpcnum入口 2、exploit 调用 NdrSendReceive 溢出程序通用性技术 连续覆盖 同时使用ret、seh 自动版本识别 通用跳转地址 代码页地址 通用指针 PEB-RtlEnterCriticalSection PEB-RtlLeaveCriticalSection shellcode 高级技术 解码+shellcode框架 Shellcode通用性 GetProcAddress+ LoadLibraryA c语言编写shellcode 编写具有shell功能的shellcode hook技术 内存后门技术 通信加密 APT对抗时代 对抗DEP+ASLR+EMET+CFI 如何对抗ANTI APT设备 1、无关键代码缓存 2、无事后关键代码追踪线索 3、旁路无法分析关键代码 APT 高级漏洞利用技术 DVE数据虚拟执行技术 原理，97年两篇文章 《注意利用解释型语言与CPU代码相结合的新型病毒》 《文本病毒（病毒新理论）！》 解释执行也是执行 利用漏洞增强指令集 构造指针突破解释执行虚拟机 远程代码执行转换成本地提权突破 突破点 关键通用的数据结构 Variant变量 COM、VB、JS等大量使用 VB唯一数据类型 JS9内部仍然保留使用 tagVARIANT的定义 struct __tagVARIANT { VARTYPE vt; WORD wReserved1; WORD wReserved2; WORD wReserved3; union { LONGLONG llVal; LONG lVal; BYTE bVal; SHORT iVal; SAFEARRAY *parray; typedef unsigned short VARTYPE; VARTYPE列举 enum VARENUM { VT_EMPTY = 0, VT_NULL = 1, VT_I2 = 2, VT_I4 = 3, VT_R4 = 4, VT_R8 = 5, VT_BSTR = 8, VT_VARIANT = 12, VT_VECTOR = 0x1000, VT_ARRAY = 0x2000, VT_BYREF = 0x4000, }; tagSAFEARRAY的定义 typedef struct tagSAFEARRAY { USHORT cDims; USHORT fFeatures; ULONG cbElements; ULONG cLocks; PVOID pvData; SAFEARRAYBOUND rgsabound[ 1 ]; } SAFEARRAY; c