4njuT0m/windows_persistent
GitHub: 4njuT0m/windows_persistent
紫队模拟框架,通过红蓝对抗方式演示Windows持久化攻击的高级规避技术与对应的行为启发式EDR检测策略。
Stars: 1 | Forks: 0
# 紫队 EDR 模拟器:高级 LotL 规避
## 背景与学习目标
本仓库包含一个作为持续网络安全学习实践的一部分而开发的紫队模拟框架。其核心目标是深入理解 Windows 持久化机制以及现代端点检测与响应 (EDR) 解决方案所采用的相应防御策略。
通过同时构建攻击组件(红队)和防御扫描器(蓝队),本项目演示了攻击者如何利用 **就地取材 (Living-off-the-Land, LotL)** 技术来规避静态分析,以及防御者必须如何转向 **行为启发式** 来保护企业环境。
## MITRE ATT&CK 映射
| 技术 ID | 名称 |
|---|---|
| [T1547.001](https://attack.mitre.org/techniques/T1547/001/) | 启动或登录自动执行:注册表运行键 / 启动文件夹 |
| [T1053.005](https://attack.mitre.org/techniques/T1053/005/) | 计划任务/作业 |
| [T1543.003](https://attack.mitre.org/techniques/T1543/003/) | 创建或修改系统进程:Windows 服务 |
| [T1546.003](https://attack.mitre.org/techniques/T1546/003/) | 事件触发执行:Windows Management Instrumentation 事件订阅 |
| [T1546.012](https://attack.mitre.org/techniques/T1546/012/) | 事件触发执行:映像文件执行选项注入 |
| [T1027](https://attack.mitre.org/techniques/T1027/) | 混淆文件或信息 |
## 架构与方法论
### 蓝队防御 — 高级启发式 EDR
防御脚本作为专为企业环境设计的自动化行为 EDR 扫描器运行。
- **行为启发式引擎** — 该引擎不依赖于静态字符串黑名单(此类黑名单很容易被绕过),而是评估进程命令行和持久化条目中的混淆模式,例如 ASCII 数组转换和隐蔽窗口标志,以及表明恶意意图的异常 API 使用情况。
- **全面的持久化面扫描** — 审计所有核心持久化位置(注册表、计划任务、服务、启动文件夹),以及包括 WMI 事件订阅、BITS 作业和 IFEO Debugger 劫持在内的高级 APT 向量。
- **SIEM 集成与隐私合规** — 生成结构化、符合 GDPR 的 JSON 遥测数据,以便无缝摄取到企业 SIEM 平台,并自动隐去敏感用户数据。
### 红队规避 — 攻击者 v6 “内核锁”
红队脚本完全放弃了传统的基于磁盘的脚本投放和明文命令,以对抗蓝队扫描器。
- **数学混淆** — Payload 依赖于十进制 ASCII 字节数组(例如,`[char[]]`)而不是字符串字面量,使其对基于正则表达式的静态分析引擎不可见。
- **无文件执行** — 持久化机制完全包含在内存注入的命令行参数中。不会向磁盘写入任何 `.ps1` 或 `.vbs` 辅助文件。
- **内核级文件锁定** — 为了对抗动态修复措施,Payload 在投放工件后使用原生 .NET 类(`[System.IO.File]::Open`)在操作系统级别应用 `FileShare.Read` 锁。当 EDR 尝试删除 Payload 时,Windows 操作系统会通过拒绝访问的共享冲突阻止该操作,从而确保 Payload 存活。
## 规避军备竞赛
本项目经历了攻防之间模拟对抗循环的演进:
**阶段 1 — 基础持久化**
红队使用标准的注册表运行键和普通的 `.ps1` 文件。蓝队通过扫描 `.ps1` 扩展名和已知的 IOC 字符串轻而易举地检测到了这些内容。
**阶段 2 — 混淆与监视器**
红队转向使用字符串拼接和编码来掩盖 Payload。蓝队则通过部署一个主动的监视器循环来适应,该循环在最终的 Payload 工件投放时将其删除,无论它是如何生成的。
**阶段 3 — 行为狩猎与内核锁**
蓝队升级到行为启发式以捕获混淆模式。作为回应,红队开发了 v6 架构:使用 ASCII 字节数组绕过启发式扫描,并结合操作系统级的内核文件锁定来永久阻止 EDR 的修复措施。
## 免责声明
标签:AI合规, Conpot, DNS 反向解析, EDR, Libemu, Living off the Land, LotL, TGT, URL发现, Windows安全, WMI, 云安全监控, 多人体追踪, 子域枚举, 安全检测, 安全脚本, 持久化机制, 攻防演练, 映像劫持, 注册表, 端点检测与响应, 系统服务, 紫队, 红军, 终端安全, 网络安全, 脆弱性评估, 脱壳工具, 蓝军, 行为启发式, 规避技术, 计划任务, 隐私保护, 静态分析