Dumpert,一个使用直接系统调用和API解除连接的LSASS内存转储器
最近的恶意软件研究表明,使用直接系统调用来逃避安全产品使用的用户模式API挂钩的恶意软件数量有所增加。这些工具演示了直接系统调用和API取消的使用,并将这些技术结合在概念验证代码中,该代码可用于使用CobaltStrike创建LSASS内存转储,同时不触及磁盘并避开AV/EDR监控的用户模式API调用。
代码包含两个版本:
可执行版本和DLL版本,DLL版本可通过如下命令来运行:
rundll32.exeC:\Dumpert\Outflank-Dumpert.dll,Dump同时还提供了sRDI版本,包含一个CobaltStrike攻击者脚本。此脚本使用shinject将dumpertDLL的sRDIshellcode版本注入当前进程。然后它等待几秒钟让lsassminidump完成并最终从受害者主机下载minidump文件。
编译指引:
ThisprojectiswritteninCandassembly.YoucanuseVisualStudiotocompileitfromsource.sRDI代码: https://github.com/monoxgas/sRDI
评论